開発環境「Delphi」がウイルス汚染、作成したソフトをウイルス化

正規のオンラインソフトでも汚染事例


“汚染”されたDelphiで作成された「PE_INDUC.A」(「トレンドマイクロセキュリティブログ」より転載)

 プログラム開発環境「Delphi」を狙ったウイルス「Induc」による感染事例が多数報告されているとして、セキュリティベンダー各社が注意を呼び掛けている。

 「トレンドマイクロセキュリティブログ」によると、Delphi(バージョン4.0/5.0/6.0/7.0)がインストールしてあるマシンが「TROJ_INDUC.AA」(トレンドマイクロによる呼称、以下同)に感染すると、Delphiで使用するライブラリ「SysConst.dcu」に不正なコードを追加されることで「TROJ_INDUC.AA」自身に置き換えられる。以降、こうして“汚染”されたDelphi環境で、このライブラリを含むプログラムをコンパイルすると、そのプログラムまでもが「PE_INDUC.A」としてウイルス化することになる。

 トレンドマイクロでは、ウイルス化したプログラムの報告を多数受けているとしており、「その一部はオンラインソフトとして正規に配布されているものであることも特定している」という。

 トレンドマイクロのウイルスデータベースで「PE_INDUC.A」の感染状況を見ると、8月20日以降、2500台以上の感染が確認されている。特にアジア地域は2000台近くあり、日本にも約400台の感染が報告されている(8月22日午前2時現在)。

「窓の杜」に収録していた2ソフトで感染確認

 こうした事態を受けて、オンラインソフトのダウンロードサイト各社では確認作業が進められている模様だ。

 「Vector」では21日、検査のために一部ソフトのダウンロードを停止していると発表した。現在までに、同サイトで配布しているソフトへの感染は確認されていないとしながらも、「一部ソフトに嫌疑がみられる」とし、再検査を実施しているという。ダウンロードを停止している一部ソフトについては、安全が確認できしだい、ダウンロードを再開するとしている。

【追記 2009/8/22 2:50】
 「窓の杜」では22日、同サイトに収録していた2つのソフトの旧バージョンが「Induc」に感染していたことが判明したとして、該当するソフトをダウンロードしたユーザーに対してウイルスチェックを行うよう呼び掛けている。

 感染が判明したのは、8月6日から8月19日まで収録していた「Glary Utilities」のバージョン2.15.0.728、7月22日から8月19日まで収録していた「Glary Undelete」のバージョン1.4.0.211。

 なお、8月21日時点で「窓の杜」に収録している最新版の「Glary Utilities」バージョン2.15.0.738、「Glary Undelete」バージョン1.5.0.232においては、ウイルス感染は確認されていないという。

【追記 2009/8/24 19:15】
 「Vector」も24日、検査結果を公表。同サイトに収録していた7タイトルへの感染が確認されたこと、また、これとは別に4タイトルについて感染の疑いがあることを明らかにした。詳しくは、関連記事を参照。


関連情報

(永沢 茂)

2009/8/21 23:24