Virüsün şu an büyük bir tehdit olarak görülmediğini söyleyen Kaspersky Lab yetkilileri, bulaşıcı olmasının yanı sıra başka bir yük getirmediğini de hatırlatarak, tüm Kaspersky Lab ürünleri ile ortaya çıkan bu son tehditlerden korunmanın mümkün olduğunu belirtiyorlar.
Virüs.Win32.Induc.a, Delphi programının iki aşamalı mekanizmasından faydalanarak, yürütülebilen dosyalar yaratıyor. Kaynak kodları önce ara .dcu (Delphi toplu ünitesi) dosyaları üretmek üzere bir araya geliyor. Bunlar daha sonra Windows programında çalıştırılan dosyalara bağlanıyor.
Aplikasyonlara bulaştıktan sonra aktive olan söz konusu virüs daha sonra, Delphi ortam geliştirme versiyonları 4.0, 5.0 ya da 7.0’ın kurulup kurulmadığını kontrol ediyor. Eğer yazılıma da bulaştıysa Virus.Win32.Induc.a, Delphi kaynak dosyalarını bir araya toplayarak, değiştirilmiş toplu Sysconst.dcu dosyası oluşturuyor.
Kaspersky Lab çözümleri, Virus.Win32.Induc.a adlı söz konusu virüsü başarılı bir şekilde tespit ediyor ve entegre Delphi dosyaları ile Windows uygunluğunun ikisine birden müdahale edebiliyor.
Neredeyse tüm Delphi projeleri ‘Use Sysconst‘ hattını içeriyor. Bu da, sadece bir sistem modülünün enfekte olması ile virüsün, tüm aplikasyonlara daha kolay bulaşmasına neden oluyor. Diğer bir deyişle, modifiye edilmiş SysConst.dcu dosyası, enfekte olmuş ortamda daha sonra oluşturulacak tüm programların yeni virüsün kodunu içermesine neden oluyor. Böylece, değiştirilmiş pas dosyasına artık ihtiyaç duyulmuyor ve siliniyor.
Büyük bir olasılıkla bu virüsün, yeni bir enfeksiyon rutininin testi ve ön gösterimi olduğu sanılıyor. Popüler anında mesajlaşma sisteminin (QIP) çeşitli versiyonları ve yayımlanan dcu dosyaları sayesinde Virus.Win32.Induc.a, geliştiren kişiler tarafından dünya çapında hızla yayıldı. Gelecek dönemde bu virüsün, siber suçlular tarafından alınarak daha tahrip edici bir hale getirilmesi bekleniyor.
:: Hangi anti virüs yazılımını kullanıyorsunuz?
{{user}} {{datetime}}
{{text}}