Induc: El innovador programa que infecta archivos

Hace poco agregamos a nuestra base de datos un nuevo virus que infecta archivos, que hemos denominado Virus.Win32.Induc.a. Desde entonces, hemos recibido muchas preguntas sobre él. Por ahora no realiza ningún ataque malicioso y no infecta de forma directa los archivos .exe. En vez de eso, revisa si el ordenador de su víctima tiene instaladas las versiones 4.0, 5.0, 6.0 y 7.0 de Delphi.

Si las encuentra, copia SysConst.pas a Lib y escribe su código allí. Después realiza una copia de seguridad de SysConst.dcu, llamándola SysConst.bak (los archivos dcu se mantienen en Lib). A continuación compila LibSysConst.pas para producir una versión infectada de SysConst.dcu. Por último, elimina el archivo .pas modificado.

“uses windows;
var sc:array[1..24] of string=(‘uses windows; var sc:array[1..24] of string=(‘, ‘function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]’,
‘=#36 then s[i]:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;’, ‘h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin’,
‘h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if h<>DWORD(-1) then begin CloseHandle’, ”

El resultado: todos los programas Delphi del ordenador quedan infectados. (Ya hemos recibido quejas de una empresa que nos contactó porque pensaba que habíamos detectado una infección inexistente en su producto). Tal vez este virus en particular no es una amenaza muy grande: no es la primera vez que vemos este método de propagación, el código es bastante primitivo, el ataque no es muy dañino y hay formas mucho más fáciles de infectar ordenadores. Pero a lo largo de los años hemos visto que las nuevas formas de infección se reutilizan, alteran y mejoran. Así que mantendremos este programa vigilado en caso de que esto suceda.