Win32.Induc.2 - троян для среды Delphi


Win32.Induc.2 - троян написанный на языке Delphi, заражающий среду разработки Delphi таким образом, что все созданные с ее помощью приложения оказываются инфицированными вредоносным ПО.

Троян прописывает ярлык своего исполняемого файла в стандартной папке автозагрузки Windows под именем APMV и снабжает его случайным ярлыком. Стартовав при следующем запуске операционной системы, Win32.Induc.2 выполняет поиск папки, в которую установлена среда разработки Delphi, записывает копию самого себя в файл

  • defines.inc

и модифицирует файл

  • sysinit.pas

таким образом, что при запуске инфицированной программы троян сохраняется в файле с именем

  • ~.exe

и запускается на выполнение.

Далее троян Win32.Induc.2 осуществляет пересборку модуля sysinit, вслед за чем возвращает содержимое папки Source в исходное состояние с целью затруднить определение присутствия вредоносной программы в системе. Полученный в результате компиляции dcu-файл троянец помещает в папку /lib, что приводит к заражению всех создаваемых пользователем Delphi программ.

APMV v avtozagruzke
Троян пытается отыскать и заразить все копии среды разработки Delphi, расположенные на дисках инфицированного компьютера. Одновременно с этим Win32.Induc.2 осуществляет мониторинг запущенных процессов и автоматически завершается, если пользователь пытается открыть окно Диспетчера задач.

Данная модификация трояна несет определенную функциональную нагрузку, реализованную весьма любопытным образом. Во вредоносном файле "зашито" несколько URL, ссылающихся на "аватарки" пользователей ряда интернет-форумов. Внутри самих "аватарок" скрыта закодированная строка, содержащая другой URL, по которому троянец скачивает с удаленного узла зашифрованный exe-файл. Таким образом, в Win32.Induc.2 реализована функция загрузки и запуска исполняемых файлов, способных нанести вред операционной системе.