検索:
ホーム   »   Archives for 8月 2009

「TROJ_INDUC.AA」により開発ツール「Delphi」が汚染、「PE_INDUC.A」の脅威広がる

  • 投稿日:2009年8月21日
  • 脅威カテゴリ:不正プログラム, 速報, 新種ウイルス
  • 執筆:Forward-looking Threat Research 林 憲明
0

 ボーランド社のプログラム開発環境「Delphi(デルファイ)」がウイルス「TROJ_INDUC.AA」により汚染される事例が相次いで報告されています。

 リージョナルトレンドラボでは、汚染された環境にて作成(コンパイル)され、ウイルス化した(汚染環境にてコンパイルした際に悪意あるコードが組み込まれた)プログラム「PE_INDUC.A」について多数報告を受けており、その一部はオンラインソフトとして正規に配布されているものであることを特定しています。

図1
図1 「TROJ_INDUC.AA」によって汚染された「Delphi」にて作成された「PE_INDUC.A」

 攻撃の発端は、プログラム作成者の開発環境「Delphi」が「TROJ_INDUC.AA」により汚染されることにはじまります。「TROJ_INDUC.AA」は「Delphi」でプログラムを作成する際に使用するライブラリ「SysConst.dcu」(特定の機能をもったプログラムを再利用可能な形で部品化したもの)を「TROJ_INDUC.AA」と置き換えます。この置き換え行為をここでは、「Delphi開発環境への汚染」と呼んでいます。

  1. $(DELPHI)\lib にある「SysConst.pas」ファイルに悪意あるコードをコピーする。
  2. 正規の「SysConst.dcu」を「SysConst.bak」という名前に変更する。
  3. 悪意あるコードを含む「SysConst.pas」をコンパイルすることで、新たな「SysConst.dcu」(「TROJ_INDUC.AA」)を作成する。
  4. 作成後、元の「SysConst.pas」ファイルは削除する。

この汚染は、Delphiバージョンが4.0、5.0、6.0、7.0の場合に発生します。

(さらに…)

続きを読む


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2019 Trend Micro Incorporated. All rights reserved.