Virus infiziert Entwicklungsumgebung [Update]

Der Antivirenhersteller Kaspersky hat einen neuartigen Virus entdeckt, der Systeme mit der Entwicklungsumgebung Delphi befällt und diese kompromittiert.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 138 Beiträge
Von
  • Jürgen Schmidt

Der Antivirenhersteller Kaspersky hat einen neuartigen Virus entdeckt, der Systeme mit der Entwicklungsumgebung Delphi befällt. In der Folge werden alle mit der kompromittierten Delphi-Installation übersetzten Delphi-Programme ebenfalls infiziert. Das Antiviren-Labor AV-Test hat auch bereits erste Exemplare in freier Wildbahn gesichtet.

Der Virus befällt die Delphi-Versionen 4.0, 5.0,6.0 und 7.0. Dazu überschreibt er die Delphi-Datei SysConst.dcu mit einer selbst übersetzten Version, nachdem er ein Backup mit dem Namen SysConst.bak angelegt hat. Da die infizierte Datei beim Übersetzen von Delphi-Programmen eingebunden wird, sind alle ab dann erzeugten Programme infiziert.

Der Virus hat keine weitere Schadfunktion, richtet also auf Systemen ohne Delphi gar keinen Schaden an. Somit geht wohl keine echte Gefahr von ihm aus. Konkret betroffen sind derzeit unter anderem die in Delphi entwickelten Programme Any TV Free 2.41 (anytv241_setup.exe) und Tidy Favorites 4.1 (TidyFavorites_Setup_4_1_free.exe), die auf einigen aktuellen Heft-CDs von Zeitschriften, aber auch in den Top 100 Downloads entsprechender Download-Portale zu finden sind. Die Scanner von Kaspersky, F-Secure und Ikarus melden den Schädling als "Virus.Win32.Induc.a". McAfee bemängelt infizierte Dateien mit "W32/Induc" oder mit "Generic!Artemis". Die Hersteller anderer Scanner sind informiert und arbeiten derzeit noch an Updates.

Die Idee, Schadcode in einem Compiler zu verstecken, ist keineswegs neu. Bereits 1984 diskutierte Unix-Vater Ken Thompson in seiner lesenswerten Dankesrede Reflections on Trusting Trust für den Turing-Preis die Möglichkeit, über den Compiler eine Hintertür in den Login-Prozess einzuschleusen. Immerhin hat es rund 25 Jahre gedauert, bis ihn jetzt die Realität eingeholt hat.

Update
Der Autor von Tidy Favorites stellt jetzt eine Version 4.14 zum Download bereit, die er nach eigenen Aussagen mit einem sauberen Delphi erstellt hat. Virenscanner liefern bei dieser Datei auch keinen Befund mehr. (ju)