플러스* 이라는 이름의 국산 특정 검색어 서치 관련 Setup.exe 프로그램 내부에 델파이 개발 도구를 감염 대상으로 하는 Virus.Win32.Induc.a 바이러스가 감염된채 배포되고 있는 것이 발견되었네요.
http://www.f-secure.com/weblog/archives/00001752.html
이 바이러스는 2009년 8월 15일부터 지속적으로 감염된 파일이 목격되고 있으며, 델파이 개발 환경을 통해서 감염되는 제한(직접적으로 다른 EXE/DLL 을 감염시키지 않음)적인 바이러스 형태를 지니고 있습니다. EXE 와 DLL 파일 등이 모두 감염될 수 있습니다.
Delphi SysConst 라이브러리를 감염시킨 후 프로그램 개발(빌드/컴파일)시 악성 라이브러리가 포함되는 그동안 알려지지 않은 새로운 방식입니다.
제한된 조건의 바이러스임에도 불구하고 감염 파일이 다수 발견되고 있으며, 특히 악성코드+바이러스 형태의 중복 2중 감염된 파일이 많이 보여지고 있습니다. 델파이 악성코드 제작자 컴퓨터에 많이 감염되어 있나 봅니다.
현재 Main 숙주본을 계속 추적 중에 있으며, 제작자 관련 정보도 수집 중에 있습니다.
현승님이 작성하신 글을 인용하면 다음과 같습니다.
1. HKLM\Software\Borland\Delphi(4 ~ 7) 의 RootDir 키를 참조하여 델파이의 루트 경로를 구합니다.
2. 1. 에서 구한 경로를 기준으로 \source\rtl\sys\SysConst.pas 파일을 \lib\sysconst.pas 파일로 복사하면서...
소스파일 중간에 바이러스 코드를 집어넣습니다.
3. \lib 폴더의 기존의 SysConst.dcu 파일을 SysConst.bak 파일로 백업합니다.
4. dcc32.exe 이용하여 바이러스 코드가 심어진 sysconst.pas 를 새로 컴파일합니다. (새로운 SysConst.dcu 생성)
5. 새로운 SysConst.dcu 가 생성이 되면 감염된 소스코드 SysConst.pas 파일을 삭제합니다.
이후에 델파이에서 컴파일되는 실행파일들은 모두 바이러스 코드가 심어진 SysConst.dcu 가 적용되면서..
해당 실행파일에 바이러스 코드가 추가되는 방식입니다.
<< 복구방법 >>
델파이 라이브러리를 복구하기 위해서는 \lib 폴더의 SysConst.dcu 파일을 제거 후, SysConst.bak 파일을
SysConst.dcu 파일로 이름을 변경해주거나, \source\rtl\sys 폴더의 SysConst.pas 파일을 새로 컴파일해서...
해당 SysConst.dcu 파일을 덮어쓰면 됩니다.
이게 복잡하다 싶으시면, 델파이 삭제 후~ 재설치하는 방법도 있습니다 :D
감염된 파일 복구 방법은 아직 조금 더 봐야겠지만..
카스퍼스키의 경우, 해당 바이러스 코드 영역(대략 4080 바이트 정도)을 '00' 으로 덮어쓴 후,
바이러스 코드 영역을 호출하는 CALL 명령을 NOP(90) 으로 치환하는 방식이었습니다.
특히 이번 국내에서 배포되고 있는 파일은 감염된 채 빌드(컴파일)된 후 PECompact 로 실행압축까지 된 상태여서, 압축 해제 기능이 없으면 치료가 불가할 것으로 보여집니다.
바이러스 토탈 진단현황입니다.
[Setup.exe 진단현황]
http://www.virustotal.com/analisis/5869adb65806a0f4196849d887e542008e0223955e3054fc96088c94425b3c20-1250640451
* 내부에 포함된 실제 감염파일 rec.exe 진단현황
[1차]
http://www.virustotal.com/analisis/9a59a4abfe53151e7082633e555c7225348c191a2a9c6cbaaa6c0f33773ba54c-1247583915
[2차]
http://www.virustotal.com/analisis/9a59a4abfe53151e7082633e555c7225348c191a2a9c6cbaaa6c0f33773ba54c-1250641632
