Como reportamos hace ayer, un nuevo tipo de amenaza está siendo propagada a través del lenguaje de programación Delphi y es detectado por ESET NOD32 como Win32/Induc.A virus.

Ante la gran cantidad de consultas recibidas, hemos preparado la siguiente FAQ (Freguntas Frecuentes) sobre este virus.

1. ¿Qué significa si un archivo es detectado por ESET NOD32 como Win32/Induc.A?

Significa que el archivo contiene una porción de código que posee rutinas para modificar los archivos del lenguaje de programación Delphi y que, posteriormente, todas las aplicaciones compiladas en dicho sistema también contendrán el virus.

2. ¿Qué daños puede sufrir mi sistema si ejecuto el archivo infectado?

El virus no es destructivo. Para los usuarios Induc no es una amenaza para preocuparse. Para los programadores, se trata de una amenaza importante: cualquier aplicación que se compile posterior a la infección, contendrá el código del virus y será maliciosa en los sistemas que se ejecute.

3. ¿Qué modificaciones realiza el virus en mi sistema?

En los sistemas que no poseen instalado Delphi, no se realiza ninguna modificación.

En los sistemas de desarrolladores, con Delphi instalado, el virus realiza las siguientes acciones:

  1. Copia el archivo SysConst.pas en la carpeta %delphirootdir%Lib
  2. Modifica el nuevo archivo SysConst.pas
  3. Recompila el archivo SysConst.pas generando un nuevo archivo (ahora infectado) %delphirootdir%LibSysConst.dcu

Este último archivo es utilizado en las futuras compilaciones y todos los programas que se generen a futuro también lo estarán.

4. ¿Cómo puedo saber si mi instalación de Delphi está infectada?

En primer lugar, si las aplicaciones compiladas son detectadas por el antivirus como Win32/Induc.A virus, es porque el sistema está infectado.

Para realizar un chequeo manual, existen dos alternativas. En primer lugar, puede buscarse en las aplicaciones compiladas o en el archivo SysConst.pas. Si se encuentra,  el sistema está infectado.

En segundo lugar, el código malicioso hace un backup del archivo SysConst.dcu antes de modificarlo. Si el usuario accede a la carpeta donde se aloja este archivo debería observar dos archivos de extensión BAK (el original) y DCU (el malicioso) respectivamente, y estos deben diferir en su tamaño (el malicioso debe tener mayor peso):

5. ¿Cómo puedo arreglar mi instalación de Delphi?

Para arreglar la instalación de Delphi, debe borrarse el archivo sysconst.dcu modificado y colocar nuevamente el archivo de backup (extensión BAK) con el nombre original.

Otra alternativa es recompilar el archivo PAS original para generar el DCU con el siguiente comando (se recomienda por su simpleza la acción anterior):

"%delphi rootdir%Bindcc32.exe" "%delphi rootdir%sourcertlsysSysConst.pas"

6. ¿Cómo puedo arreglar las aplicaciones compiladas infectadas?

Las aplicaciones que hayan sido compiladas con el sistema infectado, y por lo tanto se encuentren infectadas; deben ser compiladas nuevamente una vez arreglado el sistema (pregunta 5).

Cristian