2009年8月21日

W32.Induc

既に各所で報じられていますが、DelphiのVer4-7を経由して広がるコンピュータウィルスが報告されています。現時点での危険性は低いようですが、この手法を模倣したもっと凶悪なmalwareの出現の可能性を考えると、早期に対策するべきだと思われます。
まず確認方法ですが、Delphiのインストール先のLibフォルダにsysconst.bakが存在し、sysconst.dcuのタイムスタンプがつい最近になっているという場合、ウィルスに感染している可能性が濃厚です。この場合、Delphiをアンインストールして、Delphiのインストール先フォルダを完全削除し、再インストールするのが望ましいと思われます(再インストールが難しい場合は正常なsysconst.pasをコンパイルしてsysconst.dcuを再生成する方法もありますが、あまりお勧めしません)。
また対策としては今のところとりあえず怪しいプログラムをいきなり実行しない、ということぐらいでしょうか(sysconst.bakを作っておくという手はいつまで通用するのかわからないので)。Allen Bauerさんによれば、

私たちは、皆さんがこのウイルスに感染しているかどうかを調べる方法、そして、感染していた場合の推奨される対応方法についてまとめる作業を進めています。この推奨されるステップでは、皆さんが再感染しないようにガードされるように作業しています。

ということなので、正式なアナウンス待ちということで。当該ディレクトリをログオンユーザの権限で書き込みできないようにする、という手も考えられますが…。

ちなみに第一発見者はロシアのGunSmokerさんのようです。

参考URL:
Team Japan: Delphiをターゲットとしたウイルスの脅威について
Embarcadero Discussion Forums: Virus use old Delphi versions to spread ...
Symantec: W32.Induc.A
Sophos security analysis: W32/Induc-A Win32 executable file virus (Virus.Win32.Induc.a)
マカフィー: W32/Induc | ウイルス情報
エフセキュアブログ: 0wn1ng Delphi(0wn1ng Delphi - F-Secure Weblog : News from the Labの翻訳)
Viruslist.com: Analyst's Diary

2009/08/25追記: この件に関するFAQがリリースされています。すぐに翻訳されると思いますが、とりあえず英文のリンクを。
Frequently Asked Questions about the W32/Induc-A Virus (Compile-A-Virus)

0 件のコメント: