Preguntas frecuentes sobre Induc

Como reportamos hace ayer, un nuevo tipo de amenaza está siendo propagada a través del lenguaje de programación Delphi y es detectado por ESET NOD32 como Win32/Induc.A virus.

Ante la gran cantidad de consultas recibidas, hemos preparado la siguiente FAQ (Freguntas Frecuentes) sobre este virus.

1. ¿Qué significa si un archivo es detectado por ESET NOD32 como Win32/Induc.A?

Significa que el archivo contiene una porción de código que posee rutinas para modificar los archivos del lenguaje de programación Delphi y que, posteriormente, todas las aplicaciones compiladas en dicho sistema también contendrán el virus.

2. ¿Qué daños puede sufrir mi sistema si ejecuto el archivo infectado?

El virus no es destructivo. Para los usuarios Induc no es una amenaza para preocuparse. Para los programadores, se trata de una amenaza importante: cualquier aplicación que se compile posterior a la infección, contendrá el código del virus y será maliciosa en los sistemas que se ejecute.

3. ¿Qué modificaciones realiza el virus en mi sistema?

En los sistemas que no poseen instalado Delphi, no se realiza ninguna modificación.

En los sistemas de desarrolladores, con Delphi instalado, el virus realiza las siguientes acciones:

  1. Copia el archivo SysConst.pas en la carpeta %delphirootdir%Lib
  2. Modifica el nuevo archivo SysConst.pas
  3. Recompila el archivo SysConst.pas generando un nuevo archivo (ahora infectado) %delphirootdir%LibSysConst.dcu

Este último archivo es utilizado en las futuras compilaciones y todos los programas que se generen a futuro también lo estarán.

4. ¿Cómo puedo saber si mi instalación de Delphi está infectada?

En primer lugar, si las aplicaciones compiladas son detectadas por el antivirus como Win32/Induc.A virus, es porque el sistema está infectado.

Para realizar un chequeo manual, existen dos alternativas. En primer lugar, puede buscarse en las aplicaciones compiladas o en el archivo SysConst.pas. Si se encuentra,  el sistema está infectado.

En segundo lugar, el código malicioso hace un backup del archivo SysConst.dcu antes de modificarlo. Si el usuario accede a la carpeta donde se aloja este archivo debería observar dos archivos de extensión BAK (el original) y DCU (el malicioso) respectivamente, y estos deben diferir en su tamaño (el malicioso debe tener mayor peso):

5. ¿Cómo puedo arreglar mi instalación de Delphi?

Para arreglar la instalación de Delphi, debe borrarse el archivo sysconst.dcu modificado y colocar nuevamente el archivo de backup (extensión BAK) con el nombre original.

Otra alternativa es recompilar el archivo PAS original para generar el DCU con el siguiente comando (se recomienda por su simpleza la acción anterior):

"%delphi rootdir%Bindcc32.exe" "%delphi rootdir%sourcertlsysSysConst.pas"

6. ¿Cómo puedo arreglar las aplicaciones compiladas infectadas?

Las aplicaciones que hayan sido compiladas con el sistema infectado, y por lo tanto se encuentren infectadas; deben ser compiladas nuevamente una vez arreglado el sistema (pregunta 5).

Cristian

Autor Editor, ESET

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Win32/Induc.A: nueva amenaza orientada a desarrolladores

  • Carlos

    Si este virus no es destructivo ni busca de hacerse de los datos del usuario, ¿cuál es el beneficio que obtienen los desarrolladores de virus al hacer que únicamente se autoreplique?

    • http://www.eset-la.com/ Sebastian Bortnik

      Hola Carlos,

      Como mencionamos el post anterior sobre Induc, este código malicioso parece ser de la vieja escuela, sin un claro objetivo. Se asemeja a una prueba de concepto, por ser altamente efectivo en su replicación pero a pesar de eso no causar daño.

      Por eso remarcabamos la importancia de este código malicioso, por sus características, y las posibilidades que aparezcan nuevas variantes que aprovechen su funcionamiento y agreguen instrucciones maliciosas.

      Sebastián

  • Carlos

    Muchas gracias por la pronta respuesta. Saludos.

  • Julio

    Hola!!!! Super bueno el articulo, despues de leerlo,

    Me encontre una gran sorpresa, el programa Glary Utilies 2.14.0.711 estaba infectado con una variante de Win32/Induc.A virus.!!!! y lo más chistoso que el instalador lo tenia hace aprox. más de un mes. Creo que el virus estuvo mucho tiempo circulando antes que fuera detectado por los antivirus!!!!

    Ahora si alguien esta usado este programa, lo más importante es actualizarlo.

    Gracias

    Adios

  • Pingback: W32/Induc.A FAQ | ThreatBlog

  • backfolder

    Lo mismo que Julio… A mí me ha saltado la alerta hoy como que la librería de Link Commander llamada “LCContextMenu.dll” está infectada con dicho virus. Por ahora la he desactivado renombrando la extensión.
    Supongo que se puede sustituir por una librería limpia y que a los chicos de Link Commander, alguien debería avisarlos.
    Saludos y gracias por la info.

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » El abuelo de los backdoors

  • jorge

    uy a que temer cuidado con lo que uno baje por hay xD

Síguenos

Recibir automáticamente nuevos posts por correo electrónico:

Soportado por FeedBurner

9 artículos relacionados a:
Hot Topic


Archivos

Anterior
Copyright © 2014 ESET, Todos Los Derechos Reservados.