RSS-каналы
Уровень опасности: 1
Virus.Win32.Induc.b
| Время детектирования | 09 окт 2009 11:38 MSK |
| Время выпуска обновления | 07 дек 2011 20:12 MSK |
| Описание опубликовано | 09 окт 2009 11:38 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Вредоносная программа, заражающая файл базовых констант "SysConst.pas" среды разработки программного обеспечения - Delphi. Является приложением Windows (PE-EXE файл). Размер варьируется в зависимости от создаваемого приложения, которое компилируется с включением зараженного модуля. Написана на Delphi.
Деструктивная активность
После запуска вредонос производит поиск каталога с установленной средой разработки - Delphi, читая значение параметра "RootDir" из ключа системного реестра:
[HKLM\Software\Borland\Delphi\где Х – число от 4 до 7. Затем вредонос делает резервную копию файла:.0]
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcuи сохраняет с именем
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.bakКопирует файл "SysConst.pas" из каталога
<путь_к_каталогу_с_установленной_Delphi >\source\rtl\sysв каталог
<путь_к_каталогу_с_установленной_Delphi >\libДалее вредонос заражает файл
<путь_к_каталогу_с_установленной_Delphi >\lib\SysConst.pasдописывая код в секцию "implementation". После этого компилирует зараженный файл, используя компилятор Delphi:
<путь_к_каталогу_с_установленной_Delphi >\bin\dcc32.exeВ результате получается новый инфицированный файл:
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcuЗатем удаляет файл:
<путь_к_каталогу_с_установленной_Delphi >\lib\SysConst.pasТаким образом, все скомпилированные в Delphi приложения будут включать в себя код вируса и при запуске выполнять функционал вредоноса.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить файл:
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcu
- Переименовать файл:
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.bak
в<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcu
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера.
В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:
- при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
- вирус скопировал себя на съёмный носитель или заразил файлы на нем;
- пользователь отослал электронное письмо с зараженным вложением.
Virus.
- Trojan-Ransom.
Win32. Gluteus. g («Лаборатория Касперского») - Virus.
Win32. Induc. a («Лаборатория Касперского») - Trojan:
Generic Downloader. x!cfe (McAfee) - W32/Induc-A (Sophos)
- Trojan.
Clicker-3337 (ClamAV) - Trj/Libie.
I (Panda) - BrowserModifier:
Win32/BaiduSobar (MS(OneCare)) - Win32.
Induc (DrWeb) - Adware.
BaiduSobar!8drlAdYQmaI (VirusBuster) - Trojan-Downloader.
Win32. Utka (Ikarus) - Virus.
Win32. Induc (Ikarus) - Generic14.
ZDI (AVG) - Win32/Induc (AVG)
- W32/Induc.
A (AVIRA) - W32/Suspicious_Gen2.
ICVZ. dropper (Norman) - Trojan.
Win32. Generic. 12822049 (Rising) - Trojan.
Win32. Generic!BT (Sunbelt) - Adware.
BaiduSobar!8drlAdYQmaI (VirusBusterBeta) - Malware_fam.
gw (Fortinet)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей