Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Delphi : un virus toucherait 30% des développeurs
30 000 fichiers infectés en une journée !

Le , par Emmanuel Chambon

0PARTAGES

1  0 
Virus : un malware touche les logiciels développés en Delphi

Dès les 24 premières heures de diffusion, l'éditeur ESET intercepte 30 000 fichiers infectés.
Voici le texte du communiqué.

MISE A JOUR 20 AOUT
Les programmes et applications légitimes écrit en langage Delphi ont été exposés à Win32/Induc.A. – un nouveau virus qui ne vise pas directement les fichiers .exe, mais infectant les IDE Delphi à la place. Dans les faits, toute application compilée sur une machine infectée sera infectée à son tour.

Le langage de programmation Delphi est généralement employé dans des applications requérant des bases de données importantes, principalement utilisées par les banques et autre institutions traitant de grandes quantités de données.

Certaines d’entre elles ont déjà déclaré avoir été infectées par Win32/Induc.A. Le virus n’est pas destructif en lui-même mais utilise des méthodes innovantes et peu communes pour se propager rapidement.

Grâce à son système d’avertissement anticipé – ThreatSense.Net, ESET a collecté plus de 30 000 échantillons uniques. Dans la plupart des cas, le logiciel à l’origine de cette infection était un logiciel légitime avant son infection.

“ Notre préoccupation porte sur la période durant laquelle le virus n’était pas détecté et a été apte à infecter un nombre important d’ordinateurs. En conséquence, de nombreux logiciels corrompus ont été distribués aux utilisateurs directement par les éditeurs. Nous regrettons que la réaction de la plupart de ces éditeurs ai été de conclure à un faux-positif, » déclare Juraj Malcho, responsable du Virus Lab d’ESET.

Il semblerait que les premiers échantillons du virus datent d’avril 2009. La raison pour laquelle le virus est passé si longtemps inaperçu est que le code Delphi est très volumineux, alors que le corps du virus en lui-même est plutôt petit.

En outre, il semblerait que le virus était distribué en parallèle de chevaux de Troie, sa taille et sa charge non destructive lui permettait d'éviter sa détection par les moteurs antivirus, pendant que ces derniers se focalisaient sur les chevaux de Troie.

Sur les milliers d’échantillons de trojans infectés par ce virus et interceptés par ESET, les trojans classés comme Win32/Spy.Banker sont les plus abondant. Win32/Spy.Banker cible principalement les utilisateurs de PC russes et brésiliens.


C'est l'éditeur Sophos qui a fait cette découverte. C'est selon eux une première : Win32.Induc serait le premier ver à cibler les applications développées en Delphi.
"Ce malware se propage uniquement. Il n'efface aucun fichier, et n'a rien de malveillant. En revanche, s'il a infecté la machine d'un développeur, son application sera bloquée par les antivirus" explique Nick Bilogorskiy, responsable de la recherche de virus chez Sonicwall.
De nombreux logiciels actuellement proposés en téléchargement ou disponibles sur des CD-Rom seraient déjà infectés. Parmi eux, Any TV Free 2.41 et Tidy Favorites 4.1.
"Je pense que 30% des développeurs en Delphi sont touchés" estime Nick Bilogorskiy.
Un chiffre plus qu'inquiétant !

Source : Blog Sophos (en anglais)

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de argonath
Membre averti https://www.developpez.com
Le 20/08/2009 à 12:12
Citation Envoyé par samuel.s Voir le message
fais pas de delphi,fais pas de delphi
Bonne chance aux developpeurs de delphi
malheureusement delphi n'est pas particulier dans la compilation... si ce genre de virus se répand on peut imaginer des infections via compilateur c, python, etc...
2  0 
Avatar de
https://www.developpez.com
Le 19/08/2009 à 9:52
Bonjour,

En revanche, s'il a infecté la machine d'un développeur, son application sera bloquée par les antivirus
Je n'arrive pas à trouver sur le de Sophos quels IDE sont concernés ?
1  0 
Avatar de GoustiFruit
Membre éclairé https://www.developpez.com
Le 19/08/2009 à 10:16
Tiens, un concurrent de Delphi qui veut lui faire dur tord ?
1  0 
Avatar de Lung
Expert confirmé https://www.developpez.com
Le 19/08/2009 à 13:25
Citation Envoyé par Emmanuel Chambon  Voir le message
En revanche, s'il a infecté la machine d'un développeur, son application sera bloquée par les antivirus[/I]"

L'application développée ou l'IDE ?
1  0 
Avatar de kaymak
Membre chevronné https://www.developpez.com
Le 19/08/2009 à 13:41
@Emmanuel, pourquoi ne pas avoir cité le comment de l'infection puisque c'est ce qui rend cette infection si surprenante et inhabituelle ?


Here’s something you don’t see every day - a virus that infects Delphi files … at compile-time.

When a file infected with W32/Induc-A runs, it looks to see if it can find a Delphi installation on the current machine. If it finds one, it tries to write malicious code to SysConst.pas, which it then compiles to SysConst.dcu (after saving the old copy of this file to SysConst.bak). The new infected SysConst.dcu file will then add W32/Induc-A code to every new Delphi file that gets compiled on the system - some of the strings from the inserted code look like this:
Donc en gros c'est un virus qui se propage, pour partie, à la compilation.
C'est marrant, pour cette fois, inquiétant pour la suite.
Imaginons un environnement d'intégration infecté, qui produit des binaires infectés, qui sont par la suite distribués ....
1  0 
Avatar de VLDG
Membre éclairé https://www.developpez.com
Le 19/08/2009 à 14:59
des infos ici :

http://jamiei.com/blog/2009/08/malwa...geting-delphi/

http://blog.eurekalog.com/?p=244
1  0 
Avatar de smyley
Expert éminent https://www.developpez.com
Le 19/08/2009 à 22:47
Citation Envoyé par mabu Voir le message
Je n'arrive pas à trouver sur le de Sophos quels IDE sont concernés ?
The malware is rather limited in its viability because it seems to be limited to infecting Delphi Versions 4-7


Citation Envoyé par Lung Voir le message
L'application développée ou l'IDE ?
L'application développée.

C'est quand même intrigant et original comme manière de faire. En plus si on infecte un utilisateur de Delphi il y a des chances pour que tous les collègues et donc toute l'entreprise l'attrape ...
Par contre le fait qu'il soit "inoffensif" m'intrigue un peut ... c'était un proof of concept ?
1  0 
Avatar de Lung
Expert confirmé https://www.developpez.com
Le 20/08/2009 à 8:05
Citation Envoyé par smyley Voir le message
it seems to be limited to infecting Delphi Versions 4-7
Arg !
Faut qu'on passe en 2009 ou 2010 ...
1  0 
Avatar de sat83
Membre expérimenté https://www.developpez.com
Le 20/08/2009 à 8:55
Quelques infos supplémentaires sur le mode d'infection à la compilation...
1  0 
Avatar de guillemouze
Membre expérimenté https://www.developpez.com
Le 20/08/2009 à 9:56
Citation Envoyé par smyley Voir le message
Par contre le fait qu'il soit "inoffensif" m'intrigue un peut ... c'était un proof of concept ?
Moi ce qui m'inquiète plus, c'est comment ont-ils fait pour le découvrir, ce virus. Si il est inoffensif, personne ne va le remarquer. Le seul problème qu'il provoque, c'est que l'antivirus bloque l'exe ! (donc serait-ce l'antivirus le virus )
1  0