A la mi-août, les analystes de Doctor Web ont détecté un virus infectant l’IDE Delphi. L’absence de fonctions destructives dans ses composants a permis à Win32.Induc de se propager activement pendant quelques mois. Néanmoins, prenant en considération le grand nombre d’utilisateurs infectés ainsi qu’une menace potentielle de modification de ce virus, il est permis de douter de son innocence.

Le virus Win32.Induc infecte un des fichiers de l’IDE Delphi utilisé lors de la compilation. Si le projet est compilé dans un environnement de développement compromis, il devient un vecteur du virus. Le virus infecte les versions 4 à 7 de l’IDE Delphi . Il modifie le répertoire SysConst.dcu utilisé lors de la compilation. Une compilation de n’importe quel projet Delphi qui utilise le répertoire infecté crée une application dotée des fonctions du virus.

La mission unique de ce virus est de se propager. Les solutions antivirus Dr.Web détectent les virus et prévoient la neutralisation de Win32.Induc. Bien qu’il paraisse innocent, il est vraiment dangereux. Du fait de l’accessibilité des codes sources de ce virus, d’autres auteurs de virus peuvent appliquer les technologies de diffusion de ce virus dans leurs programmes malicieux.

De multiples logiciels créés dans l’IDE Delphi sont devenus les porteurs de ce virus et ont contribué à augmenter sa propagation. Les fichiers infectés ont été découverts sur des centaines de millier d’ordinateurs. Win32.Induc n’attirait pas l’attention des utilisateurs parce qu’il ne fait pas de mal au système. Parmi les sources de propagation du logiciel malicieux se trouvent des portails de logiciels populaires ainsi que des CD joints aux revues IT populaires.

Il Le fait le plus marquant est que les programmes malicieux sont infectés par le virus au même titre que les logiciels sains. Les analystes de Doctor Web ont découvert les virus (Trojan.PWS.Banker.30321, Trojan.DownLoad.44695 etc.), créés en utilisant l’IDE Delphi et infectés par Win32.Induc.

Ce virus montre la méthode de propagation des programmes malicieux qui était utilisée par les virus DOS il y quelques années. De telles technologies ont été utilisées dans le virus non-résident léger HLLP.BeginPas qui infectait le code source Pascal.

Dès la création d’un algorithme de neutralisation par Doctor Web, l’activité de Win32.Induc a été considérablement diminuée.

Si votre système a été infecté, Doctor Web vous recommande d’utiliser l’utilitaire gratuit Dr.Web CureIt!. Pour les utilisateurs des solutions antivirus Dr.Web, Win32.Induc ne présente pas de risque.