Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Correspondant Actualités

    Profil pro
    Inscrit en
    mai 2009
    Messages
    75
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2009
    Messages : 75
    Points : 165
    Points
    165
    Par défaut Virus : un malware touche les logiciels développés en Delphi
    Virus : un malware touche les logiciels développés en Delphi

    Dès les 24 premières heures de diffusion, l'éditeur ESET intercepte 30 000 fichiers infectés.
    Voici le texte du communiqué.
    MISE A JOUR 20 AOUT
    Les programmes et applications légitimes écrit en langage Delphi ont été exposés à Win32/Induc.A. – un nouveau virus qui ne vise pas directement les fichiers .exe, mais infectant les IDE Delphi à la place. Dans les faits, toute application compilée sur une machine infectée sera infectée à son tour.

    Le langage de programmation Delphi est généralement employé dans des applications requérant des bases de données importantes, principalement utilisées par les banques et autre institutions traitant de grandes quantités de données.

    Certaines d’entre elles ont déjà déclaré avoir été infectées par Win32/Induc.A. Le virus n’est pas destructif en lui-même mais utilise des méthodes innovantes et peu communes pour se propager rapidement.

    Grâce à son système d’avertissement anticipé – ThreatSense.Net, ESET a collecté plus de 30 000 échantillons uniques. Dans la plupart des cas, le logiciel à l’origine de cette infection était un logiciel légitime avant son infection.

    “ Notre préoccupation porte sur la période durant laquelle le virus n’était pas détecté et a été apte à infecter un nombre important d’ordinateurs. En conséquence, de nombreux logiciels corrompus ont été distribués aux utilisateurs directement par les éditeurs. Nous regrettons que la réaction de la plupart de ces éditeurs ai été de conclure à un faux-positif, » déclare Juraj Malcho, responsable du Virus Lab d’ESET.

    Il semblerait que les premiers échantillons du virus datent d’avril 2009. La raison pour laquelle le virus est passé si longtemps inaperçu est que le code Delphi est très volumineux, alors que le corps du virus en lui-même est plutôt petit.

    En outre, il semblerait que le virus était distribué en parallèle de chevaux de Troie, sa taille et sa charge non destructive lui permettait d'éviter sa détection par les moteurs antivirus, pendant que ces derniers se focalisaient sur les chevaux de Troie.

    Sur les milliers d’échantillons de trojans infectés par ce virus et interceptés par ESET, les trojans classés comme Win32/Spy.Banker sont les plus abondant. Win32/Spy.Banker cible principalement les utilisateurs de PC russes et brésiliens.

    C'est l'éditeur Sophos qui a fait cette découverte. C'est selon eux une première : Win32.Induc serait le premier ver à cibler les applications développées en Delphi.
    "Ce malware se propage uniquement. Il n'efface aucun fichier, et n'a rien de malveillant. En revanche, s'il a infecté la machine d'un développeur, son application sera bloquée par les antivirus" explique Nick Bilogorskiy, responsable de la recherche de virus chez Sonicwall.
    De nombreux logiciels actuellement proposés en téléchargement ou disponibles sur des CD-Rom seraient déjà infectés. Parmi eux, Any TV Free 2.41 et Tidy Favorites 4.1.
    "Je pense que 30% des développeurs en Delphi sont touchés" estime Nick Bilogorskiy.
    Un chiffre plus qu'inquiétant !

    Source : Blog Sophos (en anglais)

    Qu'en pensez-vous ?

  2. #2
    Invité(e)
    Invité(e)
    Par défaut
    Bonjour,

    En revanche, s'il a infecté la machine d'un développeur, son application sera bloquée par les antivirus
    Je n'arrive pas à trouver sur le de Sophos quels IDE sont concernés ?

  3. #3
    Membre éclairé
    Profil pro
    Inscrit en
    octobre 2002
    Messages
    705
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2002
    Messages : 705
    Points : 789
    Points
    789
    Par défaut
    Tiens, un concurrent de Delphi qui veut lui faire dur tord ?

  4. #4
    Expert confirmé
    Avatar de Lung
    Profil pro
    Analyste-programmeur
    Inscrit en
    mai 2002
    Messages
    2 558
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Analyste-programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2002
    Messages : 2 558
    Points : 5 598
    Points
    5 598
    Par défaut
    Citation Envoyé par Emmanuel Chambon Voir le message
    En revanche, s'il a infecté la machine d'un développeur, son application sera bloquée par les antivirus[/I]"
    L'application développée ou l'IDE ?
    L'urgent est fait, l'impossible est en cours, pour les miracles prévoir un délai. Écrivez dans un français correct !!

    Delphi 6#2 Entreprise - Delphi 2007 Entreprise - Delphi 2010 Architecte - Delphi XE Entreprise - Delphi XE7 Entreprise - Delphi 10 Entreprise - Delphi 10.3.2 Entreprise
    OpenGL 2.1 - Oracle 10g - Interbase (7 - XE) - PostgreSQL 11.6

  5. #5
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : janvier 2007
    Messages : 1 448
    Points : 2 091
    Points
    2 091
    Par défaut
    @Emmanuel, pourquoi ne pas avoir cité le comment de l'infection puisque c'est ce qui rend cette infection si surprenante et inhabituelle ?

    Here’s something you don’t see every day - a virus that infects Delphi files … at compile-time.

    When a file infected with W32/Induc-A runs, it looks to see if it can find a Delphi installation on the current machine. If it finds one, it tries to write malicious code to SysConst.pas, which it then compiles to SysConst.dcu (after saving the old copy of this file to SysConst.bak). The new infected SysConst.dcu file will then add W32/Induc-A code to every new Delphi file that gets compiled on the system - some of the strings from the inserted code look like this:
    Donc en gros c'est un virus qui se propage, pour partie, à la compilation.
    C'est marrant, pour cette fois, inquiétant pour la suite.
    Imaginons un environnement d'intégration infecté, qui produit des binaires infectés, qui sont par la suite distribués ....

  6. #6
    Membre éclairé
    Profil pro
    Inscrit en
    mars 2002
    Messages
    728
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2002
    Messages : 728
    Points : 757
    Points
    757

  7. #7
    Expert éminent
    Avatar de smyley
    Profil pro
    Inscrit en
    juin 2003
    Messages
    6 270
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2003
    Messages : 6 270
    Points : 8 350
    Points
    8 350
    Par défaut
    Citation Envoyé par mabu Voir le message
    Je n'arrive pas à trouver sur le de Sophos quels IDE sont concernés ?
    The malware is rather limited in its viability because it seems to be limited to infecting Delphi Versions 4-7
    Citation Envoyé par Lung Voir le message
    L'application développée ou l'IDE ?
    L'application développée.

    C'est quand même intrigant et original comme manière de faire. En plus si on infecte un utilisateur de Delphi il y a des chances pour que tous les collègues et donc toute l'entreprise l'attrape ...
    Par contre le fait qu'il soit "inoffensif" m'intrigue un peut ... c'était un proof of concept ?

  8. #8
    Expert confirmé
    Avatar de Lung
    Profil pro
    Analyste-programmeur
    Inscrit en
    mai 2002
    Messages
    2 558
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Analyste-programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2002
    Messages : 2 558
    Points : 5 598
    Points
    5 598
    Par défaut
    Citation Envoyé par smyley Voir le message
    it seems to be limited to infecting Delphi Versions 4-7
    Arg !
    Faut qu'on passe en 2009 ou 2010 ...
    L'urgent est fait, l'impossible est en cours, pour les miracles prévoir un délai. Écrivez dans un français correct !!

    Delphi 6#2 Entreprise - Delphi 2007 Entreprise - Delphi 2010 Architecte - Delphi XE Entreprise - Delphi XE7 Entreprise - Delphi 10 Entreprise - Delphi 10.3.2 Entreprise
    OpenGL 2.1 - Oracle 10g - Interbase (7 - XE) - PostgreSQL 11.6

  9. #9
    Membre expérimenté
    Avatar de sat83
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mars 2004
    Messages
    1 040
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Haut Rhin (Alsace)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : mars 2004
    Messages : 1 040
    Points : 1 309
    Points
    1 309
    Par défaut
    Quelques infos supplémentaires sur le mode d'infection à la compilation...
    Ce que l'on apprend par l'effort reste toujours ancré plus longtemps...

  10. #10
    Membre expérimenté Avatar de guillemouze
    Profil pro
    Inscrit en
    novembre 2004
    Messages
    873
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations forums :
    Inscription : novembre 2004
    Messages : 873
    Points : 1 435
    Points
    1 435
    Par défaut
    Citation Envoyé par smyley Voir le message
    Par contre le fait qu'il soit "inoffensif" m'intrigue un peut ... c'était un proof of concept ?
    Moi ce qui m'inquiète plus, c'est comment ont-ils fait pour le découvrir, ce virus. Si il est inoffensif, personne ne va le remarquer. Le seul problème qu'il provoque, c'est que l'antivirus bloque l'exe ! (donc serait-ce l'antivirus le virus )

  11. #11
    Membre éprouvé Avatar de s4mk1ng
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    juillet 2008
    Messages
    535
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Oise (Picardie)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2008
    Messages : 535
    Points : 1 181
    Points
    1 181
    Par défaut
    fais pas de delphi,fais pas de delphi
    Bonne chance aux developpeurs de delphi
    Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn

  12. #12
    Membre averti Avatar de argonath
    Homme Profil pro
    Ingénieur d'Etudes
    Inscrit en
    juillet 2009
    Messages
    248
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur d'Etudes
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2009
    Messages : 248
    Points : 346
    Points
    346
    Par défaut
    Citation Envoyé par samuel.s Voir le message
    fais pas de delphi,fais pas de delphi
    Bonne chance aux developpeurs de delphi
    malheureusement delphi n'est pas particulier dans la compilation... si ce genre de virus se répand on peut imaginer des infections via compilateur c, python, etc...

  13. #13
    Membre actif
    Homme Profil pro
    DevOps AWS
    Inscrit en
    juillet 2009
    Messages
    119
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : DevOps AWS
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2009
    Messages : 119
    Points : 296
    Points
    296
    Par défaut
    Il n'est pas aussi inoffensif que cela,

    Imagine une banque qui ne peut pas fonctionner normalement a cause de l'antivirus qui bloque tous ses programmes ?
    Elle ne peut pas non plus retirer l'antivirus sinon ce serait d'autres types d'attaque qui surviendraient !!!!
    Estrade Maxime

  14. #14
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : janvier 2007
    Messages : 1 448
    Points : 2 091
    Points
    2 091
    Par défaut
    imagine surtout ce même virus qui infecte le centre d'update de microsoft ou linux.
    Catastrophe. Tu infectes automatiquement des millions de machines !
    Et il n'y à pas de raisons qu'aucune infections ne se produise dans des endroits à risques sécuritaires majeures, puisque ce sont eux qui les premier sont demandeurs de modules d'update.

    ... Si en plus le virus se positionne du coup dans le kernel, paye ton drame pour le virer après puisqu'il est dans le kernel land. Et l'antivirus, il peut toujours courrir : )

    Edit :
    “ Notre préoccupation porte sur la période durant laquelle le virus n’était pas détecté et a été apte à infecter un nombre important d’ordinateurs. En conséquence, de nombreux logiciels corrompus ont été distribués aux utilisateurs directement par les éditeurs. Nous regrettons que la réaction de la plupart de ces éditeurs ai été de conclure à un faux-positif, » déclare Juraj Malcho, responsable du Virus Lab d’ESET.
    Cela est plutôt inquiétant. Cependant, pour y remédier.....

  15. #15
    Expert éminent
    Avatar de GrandFather
    Inscrit en
    mai 2004
    Messages
    4 587
    Détails du profil
    Informations personnelles :
    Âge : 50

    Informations forums :
    Inscription : mai 2004
    Messages : 4 587
    Points : 7 068
    Points
    7 068
    Par défaut
    C'est astucieux, mais c'est clairement du travail d'amateur : le virus infecte d'abord la source Delphi, puis la recompile. Tout cela fait pas mal de traffic (lancement d'un processus - le compilateur - par un autre) sur le poste, éventuellement détectable par un bon logiciel pare-feu correctement configuré. En hackant directement le fichier .dcu c'est déjà plus discret, mais ça nécessite d'autres compétences...

    Un marché plein d'avenir : l'écriture de plug-in antivirus pour IDE.
    FAQ XML
    ------------
    « Le moyen le plus sûr de cacher aux autres les limites de son savoir est de ne jamais les dépasser »
    Giacomo Leopardi

  16. #16
    Membre du Club
    Inscrit en
    novembre 2007
    Messages
    72
    Détails du profil
    Informations forums :
    Inscription : novembre 2007
    Messages : 72
    Points : 48
    Points
    48
    Par défaut
    Je me pose des questions:

    Ca tombe particulièrement près de la sortie de Delphi 2010. Est-ce une tentative de déstabilisation par la concurrence de l'outil qui résiste encore à la façon du "petit village gaulois"?

    En été, les étudiants sont en vacances et ceux qui aiment bidouiller ont du temps pour ça, ça pourrait être l'un d'eux, si ce n'est pas le résultat du calcul d'une entreprise.

    Pourquoi s'en prendre aux développeurs uniquement?

    Pourquoi infecter les applications développées uniquement avec Delphi 4->7?

    -> pour dégoûter les développeurs Delphi?

    -> pour discréditer les applications développées avec Delphi, et par rebond, Delphi lui-même?

    -> pour forcer les vieux de la vieille à passer sur un Delphi plus récent?

    De mon côté je viens de faire une copie de sauvegarde de mon SysConsts.pas, il peut venir le malware, je l'attends!!

  17. #17
    Membre expérimenté
    Avatar de Droïde Système7
    Homme Profil pro
    Inscrit en
    septembre 2003
    Messages
    1 913
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : septembre 2003
    Messages : 1 913
    Points : 1 639
    Points
    1 639
    Par défaut
    De mon côté je viens de faire une copie de sauvegarde de mon SysConsts.pas, il peut venir le malware, je l'attends!!
    Es-tu certain que ce serait une parade efficace à 100% ?

    En tous les cas, je vais le faire

    Quoique... sur nos D7 version perso, nous n'avons pas les .pas

    @+

  18. #18
    Expert éminent
    Avatar de smyley
    Profil pro
    Inscrit en
    juin 2003
    Messages
    6 270
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2003
    Messages : 6 270
    Points : 8 350
    Points
    8 350
    Par défaut
    Citation Envoyé par Droïde Système7 Voir le message
    Quoique... sur nos D7 version perso, nous n'avons pas les .dcu

    C'est pas les .pas que vous n'avez pas justement ?

  19. #19
    Membre expérimenté
    Avatar de Droïde Système7
    Homme Profil pro
    Inscrit en
    septembre 2003
    Messages
    1 913
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : septembre 2003
    Messages : 1 913
    Points : 1 639
    Points
    1 639
    Par défaut
    smyley, effectivement, entre-temps je viens de percuter et rectifier

    Serions-nous à l'abri ?

  20. #20
    Membre expérimenté Avatar de chaplin
    Profil pro
    Inscrit en
    août 2006
    Messages
    1 215
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2006
    Messages : 1 215
    Points : 1 638
    Points
    1 638
    Par défaut
    J'ai migré les applications sur Delphi 2006 avant de quitter la boîte, donc je peux m'énorgueillir d'avoir fait de la sécurité en anticipant mon départ . La gloire à titre posthume de ne ramène rien hélas .

Discussions similaires

  1. Virus : un malware touche les logiciels développés en Delphi
    Par Emmanuel Chambon dans le forum Actualités
    Réponses: 13
    Dernier message: 20/08/2009, 13h42
  2. Réponses: 2
    Dernier message: 04/07/2008, 16h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo