Realizamos un análisis forense a fondo sobre el virus Induc.A. Os comentamos el comportamiento del virus Induc.A que afecta e infecta al lenguaje de programación Borland Delphi 4, 5, 6 y 7, por lo que cualquier programa compilado con estas versiones de Delphi infectadas quedará infectado con el virus Induc.A. Mostramos el source code de este virus, así como su curioso método de propagación. Explicamos cómo eliminarlo de nuestro equipo y cómo evitar que vuelva a infectarse.

El virus Induc.A

El virus Induc.A, conocido como W32/Induc-A es digno de mención sobre todo por su método de propagación, tal vez sea el primero (no es seguro) que utiliza este «novedoso» método de propagación. En realidad lo que hace es «infectar» el lenguaje de programación Borland Delphi, por lo que si somos desarrolladores de software y tenemos Delphi instalado, lo infectará para que todas las aplicaciones que desarrollemos con Delphi queden infectadas con Induc.A. Este virus, al menos la variante existente a fecha de hoy, 10 de agosto de 2010 no es dañino pues lo único que hace es infectar Delphi si lo tenemos instalado, sino no hará nada en el equipo.

Aunque no es dañino ni peligroso de cara al usuario final, el hecho de que el antivirus de los clientes o usuarios de nuestras aplicaciones detecte el virus en uno de nuestros ejecutables, afectará a la imagen de la empresa, por lo que sí es peligroso de cara a la conciencia social. Un usuario o cliente podría pensar que le estamos pasando una aplicación, por la que ha pagado, infectada con un virus, con las consecuencias negativas para nuestra empresa.

Hemos decidido realizar este artículo sobre el virus Induc.A porque es muy probable que se trate de una prueba o test de capacidad de infección, pues si funciona correctamente e infecta bastantes ejecutables a nivel mundial, posiblemente se convierta en una nueva forma de propagación de los virus, mediante lenguajes de programación y, muy posiblemente, serán usados en otros lenguajes de programación. Por supuesto, es muy probable también que empiecen a salir nuevas variantes más dañinas y peligrosas de cara al usuario que sí realicen acciones malintencionadas típicas del malware, spyware, virus y demás.

Cómo se propaga e infecta el equipo el virus Win32/Induc.A

Vamos a explicar a continuación el método de propagación e infección tan curioso y específico (sólo para desarrolladores de Borland Delphi del 4 al 7) de este virus. Una vez que ejecutemos una aplicación infectada con el virus Induc.A y no tengamos antivirus o bien no lo detecte correctamente, el virus se activará y realizará las siguientes acciones en nuestro equipo:

1. En primer lugar buscará si Borland Delphi está instalado en el equipo, en concreto buscará las versiones de Delphi de la 4 a la 7, para ello lee la clave del registro de configuraciones «Software\Borland\Delphi\«, si existe esta clave de registro, leerá el valor de cadena RootDir que contiene la carpeta de instalación de Delphi.

2. Editará el fichero sysconst.pas en la carpeta de instalación de Delphi obtenida anteriormente, en …Source\Rtl\Sys, y añadirá su código vírico. De esta forma el fichero sysconst.pas quedará infectado con el código del virus.

3. Hasta aquí no pasaría nada, pues si bien quedaría infectado el fichero sysconst.pas, no queda infectado el fichero compilado sysconst.dcu, que es el que usa Delphi y agrega a las aplicaciones compiladas.

4. El virus Induc.A hará una copia del fichero original sysconst.dcu llamándolo sysconst.bak.

5. Para que las aplicaciones compiladas con Delphi queden infectadas, el virus compilará el fichero sysconst.pas infectado para generar el fichero sysconst.dcu compilado e infectado.

6. De esta forma, cada vez que el desarrollador de software realice una aplicación, ésta quedará infectada con el virus.

7. Cuando el desarrollador publique la aplicación y el usuario la ejecute, si tiene Delphi instalado volverá a infectarlo y sino no hará ningún efecto. Aunque, como hemos dicho, si el usuario tiene un antivirus, lo normal es que detecte la aplicación como un virus llamado Win32/Induc.A.

Cómo funciona el virus Induc.A técnicamente

Aquí se puede ver el código fuente (source code) de este virus, a continuación explicamos paso a paso lo que va haciendo y las líneas de código más interesantes:

1. En primer lugar comprueba si existe el fichero:

C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.bak

Si existe ya es porque, en teoría, el virus ya se ha ejecutado, por lo que no volverá a hacerlo. Para ello usa este código:

Sería más lógico usar la función «FileExists», pero esta función requiere de la unidad «SysUtils», el desarrollador el virus debió considerar usar las menos unidades posibles, para no incrementar demasiado el fichero compilado ejecutable resultante.

2. A continuación cargará el siguiente fichero en memoria:

C:\Program Files (x86)\Borland\Delphi6\source\rtl\sys\SysConst.pas

Si no existe abortará la ejecución del código del virus, si existe continuará:

3. A continuación irá leyendo línea a línea el fichero anterior y copiando
cada línea en el nuevo fichero que creará en:

C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.pas

hasta llegar a «implementation» (incluida esta línea):

4. Ahora, haciendo uso del array de string declarado al principio, sc, añadirá al fichero:

C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.pas

Los 24 elementos del array, correspondientes al código del virus en pascal:

5. Cambiará el nombre al fichero:

C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.dcu

Por

C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.bak

Con la línea:

MoveFile(pchar(d + ‘dcu’), pchar(d + ‘bak’));

6. A continuación ejecuta un proceso oculto para compilar el fichero sysconst.pas modificado por el virus y generar el fichero sysconst.dcu infectado, que será el usado por todas las aplicaciones compiladas con Delphi. Para ello utiliza las siguientes líneas de código, ejecutando el compilador dcc32.exe que incluye Delphi en su carpeta «bin»:

7. Ahora renombra el fichero:

C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.bak

por

C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.dcu

con la línea de código:

MoveFile(pchar(d + ‘bak’), pchar(d + ‘dcu’));

8. Elimina el fichero:

C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.pas

con la línea de código:

DeleteFile(pchar(d + ‘pas’));

9. Obtiene ahora la fecha y hora de creación, modificación y último acceso al fichero:

C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.bak

Con la línea de código:

GetFileTime(h, @t1, @t2, @t3);

10. Por último, para que no haya sospechas por parte del usuario, cambia las fechas de creación, modificación y último acceso al fichero infectado:

C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.dcu

Por las obtenidas en el paso 9 del fichero sysconst.bak (anterior fichero sysconst.dcu antes de la infección), con la línea de código:

SetFileTime(h, @t1, @t2, @t3);

De esta forma, el virus queda en el fichero compilado sysconst.dcu y se propagará e infectará este fichero en todos los equipos donde se ejecute una aplicación compilada con el Delphi infectado. Por supuesto, como se ha explicado, este virus no produce ni realiza acciones malintencionadas, solamente se propaga en equipos con Delphi instalado.

Como se ha demostrado, no es un código excesivamente brillante, es fácil de entender y casi sencillo de desarrollar por cualquier usuario con conocimientos de programación medios-avanzados. Lo curioso, novedoso y a destacar de este virus (virus porque se propaga, pero no dañino) es su método de propagación: sencillo y muy eficaz, a la vez que difícil de detectar si no se conoce.

De hecho, la gran parte de los antivirus analizados para la detección y eliminación de este virus en nuestro laboratorio, NO eliminan el virus del fichero sysconst.dcu, sólo eliminan el virus de los ficheros compilados con Delphi e infectados de las aplicaciones desarrolladas, que ni siquiera eliminan el virus sino el fichero ejecutable completo. Pues este virus, al integrarse en el ejecutable completamente por el compilador de Delphi, no es posible eliminarlo sin que el ejecutable quede corrompido, por lo que la única solución para su desinfección es eliminar el fichero ejecutable compilado con el virus y volver a compilarlo con Delphi limpio de este virus.

Como eliminar o limpiar el virus Induc.A de un equipo infectado

Una vez explicado cómo funciona y cómo se propaga el virus Induc.A, eliminarlo manualmente de Delphi infectado es relativamente sencillo, existen varias posibilidades:

1. Eliminar todos los ficheros sysconst.pas y sysconst.pas de nuestro Delphi y crear únicamente el fichero sysconst.pas con el este contenido (original) o copiando y pegando este fichero de un Delphi no infectado. Crearemos este fichero sysconst.pas en la carpeta:

C:\Program Files (x86)\Borland\Delphi6\Lib

2. Volver a compilar todas nuestras aplicaciones desarrolladas con Delphi. Será el propio Delphi quien, en la primera compilación de la primera aplicación, compilará también el fichero sysconst.pas de la carpeta anterior, generando el sysconst.dcu limpio de virus.

3. Es importante analizar todo nuestro equipo con uno o varios antivirus, para evitar que nos haya quedado algún fichero ejecutable de alguna de nuestras aplicaciones sin volver a compilar tras la limpieza.

4. A partir de ahora, para evitar posibles infecciones de este virus o alguna variante más dañina, es recomendable tener un antivirus siempre actualizado y con el residente activo en memoria.

Código fuente Source Code en Delphi añadido por el virus Induc.A a sysconst.dcu

A continuación mostramos, sólo a título informativo (no debe usarse con otros fines) el código fuente o source code que añade el virus Induc.A al fichero sysconst.dcu de Delphi, al menos a fecha de hoy. En realidad el código en sí, como ya hemos dicho, no es dañino, pues lo único que hace es comprobar qué versión de Delphi tenemos instalada, modificar el fichero sysconst.pas añadiendo las líneas del array «sc» (el propio código del virus) y compilar sysconst.pas para generar sysconst.dcu ya infectado:

Contenido del fichero SysConst.pas original de Delphi 6 (sin infectar)

El fichero original de Borland Delphi 6 «SysConst.pas«, ubicado en:

C:\Archivos de programa\Borland\Delphi6\Source\Rtl\Sys

Es el siguiente:

Contenido del fichero SysConst.pas infectado con Induc.A de Delphi 6

A continuación os mostramos cómo deja el virus Induc.A el fichero SysConst.pas una vez infectado, lo único que hace, con respecto al original, es añadir, a partir de «implementantion» (como se puede ver en el código fuente del virus) el siguiente código: