Вирус Induc возвращается!

ESET обнаружил новую версию Delphi-инфектора Win32 / Induc. Однако, в отличие от своих предшественников, этот вариант включает в себя очень вредоносную полезную нагрузку и приобрел некоторые дополнительные функции заражения файлов и саморепликации. Два года назад мы опубликовали исчерпывающую информацию (здесь, здесь и здесь) о вирусе Win32 / Induc.A, который заражал файлы Delphi во время компиляции. Хоть

ESET обнаружил новую версию Delphi-инфектора Win32 / Induc. Однако, в отличие от своих предшественников, этот вариант включает в себя очень вредоносную полезную нагрузку и приобрел некоторые дополнительные функции заражения файлов и саморепликации.

Два года назад мы опубликовали исчерпывающую информацию ( Вот , Вот , а также Вот ) о вирусе Win32 / Induc.A, который заразил файлы Delphi во время компиляции. Несмотря на то, что он не был технически продвинутым, он, тем не менее, был интересен, поскольку вместо непосредственного заражения исполняемых файлов он предназначался для стандартной библиотеки в очень популярной среде программирования Delphi. В результате каждый [1] Приложение, скомпилированное в этой зараженной среде Delphi, было заражено. Возможно, автор был вдохновлен работой 1984 года Кена Томпсона, в которой описывается несколько похожий метод заражения путем модификации компилятора Си [2] ,

И хотя это вредоносное ПО действительно затрагивало только инсталляции с установленной Delphi, оно начало очень успешно распространяться по всему миру благодаря ряду приложений, написанных на Delphi (включая, как ни странно, некоторые примеры вредоносных программ).

Но кроме привлекательного механизма заражения, вирус Induc.A не имел другой вредоносной нагрузки. Однако это изменилось 2 года спустя, с появлением новых вариантов.

В июле 2011 года ESET впервые обнаружил Induc.B. Эта версия была все еще очень похожа на первую в том, что в ней отсутствовала действительно вредоносная полезная нагрузка, но код был переписан, и были некоторые заметные улучшения:

  • Как и Win32 / Induc.A, Win32 / Induc.B влиял на версии Delphi 4.0 до 7.0. Однако Induc.B немного умнее в поиске каталога, в который была установлена ​​среда программирования, и отражает некоторые произошедшие изменения в названии компании. Теперь он может добиться успеха, даже если IDE больше не называется просто Delphi , а также может заражать Borland Developer Studio (BDS) и Codegear BDS .
  • Некоторые анти-отладочные методы были введены.
  • Для запутывания кода использовалось простое XOR-шифрование, что усложняло анализ кода.

В остальном механизм заражения остался прежним - перекомпилировав стандартную библиотеку Delphi SysConst.pas после записи в нее кода вируса.

В последнем варианте вируса, Win32 / Induc.C, произошли гораздо более радикальные изменения. ESET обнаружил эту версию в августе 2011 года. Код полностью отличается от своих предшественников, и единственное функциональное сходство заключается в том, что он заражает Delphi. Однако механизм заражения изменился, и там, где раньше были заражены только приложения Delphi (т.е. при компиляции), был добавлен новый вектор заражения для заражения любого файла .exe . Наиболее значительным изменением является добавление функциональности загрузчика. Induc.C создает бэкдор, через который можно загружать и запускать другие вредоносные программы , что значительно расширяет возможности вредоносных программ.

C создает бэкдор, через который можно загружать и запускать другие вредоносные программы , что значительно расширяет возможности вредоносных программ

Рисунок 1 - Вредоносный код, вставленный в SysInit.pas

Чтобы суммировать некоторые из новых функций и изменений в Win32 / Induc.C:

  • Алгоритм поиска в папке установки Delphi изменился. Вместо того, чтобы получить путь из реестра Windows, он выполняет поиск по жестким дискам.
  • Целевая библиотека для заражения больше не SysConst.pas , а SysInit.pas и механизмы заражения более эффективны.
  • Induc.C способен заражать даже исполняемые файлы, которые не были скомпилированы в измененной среде разработки Delphi. Этот вектор заражения используется против исполняемых файлов на съемных дисках (например, USB-накопителях), что может помочь распространению вируса гораздо дальше, чем в предыдущих версиях.
  • Тело вируса содержит три закодированных URL-адреса, к которым он пытается подключиться. Загрузчик реализован довольно необычно. Ссылки указывают на файлы JPG (аватары пользователей на форумах), внутри которых находится зашифрованный URL-адрес. URL-адрес скрыт внутри секции EXIF ​​изображения JPG и указывает на дополнительные вредоносные программы. Induc.C загружает вредоносный исполняемый файл и запускает его.
  • Одна конкретная вредоносная программа, которую мы видели для загрузки в Induc.C, - это похититель паролей, который ESET обнаруживает как Win32 / PSW.Delf.NQS. Это можно использовать для получения доступа к частным FTP-серверам, поскольку он способен извлекать пароли из различных приложений FTP.
  • Induc.C также отправляет уникальный идентификатор зараженного компьютера на удаленный компьютер. Это позволяет злоумышленнику отслеживать инфекции и создавать ботнет .

Это позволяет злоумышленнику отслеживать инфекции и создавать ботнет

Рисунок 2 - Один из загруженных аватаров

Сравнивая различные версии вируса, становится очевидным, что первые версии Induc были своего рода бета-фазой разработки, где автор экспериментировал с (несколько) инновационным методом заражения. С другой стороны, последний вариант, Induc.C, представляет собой обычное вредоносное ПО с явно незаконными амбициями.

Рисунок 3 - Отладка кода заражения Delphi в OllyDbg

Как мы упоминали выше, семейство вредоносных программ Induc активно распространяется, что подтверждается статистикой технологии ESET Live Grid (обновленная версия облачной системы ESET ThreatSense.Net):

Net):

Рисунок 4 - Статистика обнаружения для всех вариантов Induc

Мы видим, что вирус распространяется по всему миру, причем большинство обнаружений поступает из России, а затем из Китая, но значительное количество также зарегистрировано в Соединенных Штатах. С последним вариантом, Win32 / Induc.C, цифры разные и очень интересные:

Рисунок 5 - Статистика обнаружения для Induc.C

Наибольшее количество обнаружений было зарегистрировано в Словакии и России, что составляет более 80% всемирных обнаружений Induc.C. Тем не менее, обратите внимание, что две круговые диаграммы не являются напрямую сопоставимыми, так как обнаружения Induc.C составляют менее 1% всех обнаружений Induc (которые уже ежедневно исчисляются тысячами). Нельзя сказать, что Induc.C не распространяется быстро, но это новый ребенок в блоке: как только он набирает обороты, статистика распределения может выглядеть совсем иначе.

ESET будет продолжать следить за развитием этого вируса и обеспечивать защиту по мере его развития. Этот последний вариант представляет значительно более серьезную угрозу, чем его более ранние воплощения.

Для подробного описания вируса, посмотрите наши записи Вирусной энциклопедии для Win32 / Induc.A а также Win32 / Induc.C ,

Роберт Липовский

[1] Учитывая, что программист не исключал библиотеку вручную из проекта.

[2] Кен Томпсон: размышления о доверии (1984), сообщения ACM Vol. 27, № 8