본문 바로가기
IT 보안소식

델파이 개발자를 노리는 Win32.Induc.a 바이러스 확산!!

by 잡다한 처리 2009. 8. 20.
반응형
별것 아닌 것 같은 바이러스라 생각하고 넘어가려고 했으나~ 생각보다 개발자들이 많이 당한듯하다.
현재 네이버 포탈사이트 자료실에도 유명프로그램이 감염되어 있는 것을 확인하였다.
언제부터 Induc 바이러스에 감염이 되어있는지는 모르겠지만, 오래전부터 감염을 시켜왔던거 같다.
문제는 현재는 파일감염이나 특이행동을 하지는 않지만, 여기서 공격코드를 조금이라도 추가한다면, 
77DDos의 대란처럼 큰 이슈가 되지 않을까 걱정이 든다. ㅠ_ㅠ

잠시 Win32.Induc.A 바이러스의 치료법에 대해서 간략히 설명을 하자면 다음과 같다.
<델파이(4,5,6,7버전)로 컴파일 하시는 모든 개발자분들은 확인 바랍니다.>

- 감염 확인 방법
자신이 컴파일한 또는 내가 사용하는 파일 중 Win32.Induc.A 에 감염이 되있는지 확인 하시는 방법은 다음과 같다.
1. 바이러스 토탈이용(http://www.virustotal.com)

(원하는 파일을 찾아보기로 찾은 후 -> Send File)


(File Sending 중)


(File Sending이 종료 되면, 각 AV백신들의 대한 탐지명을 볼 수 있다. 현파일도 감염이 되었다 Induc 바이러스에 ....)



2. 컴파일 된 파일을 UltraEdit 같은 Hex 프로그램을 이용해서 확인


코드 내용 중 uses windows; 라는 코드로 시작 하는 부분이 있다면 이건 100%로다!!

<컴파일 후 패킹을 하였다면, 추가 코드가 보이지 않을 수 있으니 패킹을 언팩한 상태에서 봐야한다.>

현재 약 20개의 파일이 접수 되었고, 모두 감염사실이 확인되었다.
최대한 빨리 치료패턴을 생성하여 더이상의 큰 문제가 되기전에 빨리 조치해야 한다.

- 감염복구 방법
1. 델파이설치폴더\lib 폴더의 SysConst.dcu 파일을 제거 후, SysConst.bak 파일을 SysConst.dcu 파일로 이름을 변경
2. 델파이 프로그램 재설치


한가지 더 당부하자면,
개발자들은 자신이 PC가 감염된 사실이 확인되면, 
빠르게 조치하여 재컴파일을 하여 배포해야한다.


댓글