Name:W32/Induc.A
Entdeckt am:18/08/2009
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig
Statische Datei:Nein
VDF Version:7.01.05.130

 General Aliases:
   •  Symantec: W32.Induc.A
   •  Mcafee: W32/Induc
   •  Kaspersky: Virus.Win32.Induc.a
   •  Sophos: W32/Induc-A
   •  Eset: Win32/Induc.A
   •  Bitdefender: Win32.Induc.A


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


 Spezialerkennung  W32/Induc.A

Beschreibung:
Die infizierte Datei überprüft zunächst, ob auf dem System eine Delphi Entwicklungsumgebung installiert ist. Dafür werden folgende Registry Einträge ausgelesen:

HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\4.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\5.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\6.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\7.0.

Sollte eine Delphi Entwicklungsumgebung installiert sein, so wird vom Virus eine Sicherung der Datei "SysConst.dcu" als "SysConst.bak" gespeichert. Dies dient als eine Art "Flag", mit dem der Virus feststellen kann, ob ein System bereits infiziert wurde.

Nachdem die Kopie der Datei "SysConst.dcu" erstellt wurde fügt der Virus Schadcode zu der Datei "SysConst.pas" hinzu und nutzt anschließend den Compiler der Entwicklungsumgebung um aus der infizierten Datei "SysConst.pas" die Datei "SysConst.dcu" zu kompilieren. Anschließend löscht er die Datei "SysConst.pas". Diese Vorgehensweise hat zur Folge, dass zukünftige Programme, die mit der Entwicklungsumgebung erstellt werden, ebenfalls mit dem Virencode befallen sind.

Wenn infizierte Dateien auf einem System ausgeführt werden, bei denen der Registry-Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 ungültig ist, erhält der Anwender folgende Fehlermeldung und das Programm beendet sich:



Ist auf dem System keine Delphi Entwicklungsumgebung installiert werden keine Dateien von dem Virus infiziert.

Die Beschreibung wurde erstellt von Andrei Ivanes am Montag, 24. August 2009
Die Beschreibung wurde geändert von Andrei Ivanes am Montag, 24. August 2009

zurück . . . .