Win32/Induc.A: nueva amenaza orientada a desarrolladores
Agosto 20, 2009 6:00 am

Una nueva amenaza está siendo propagada en las últimas horas y es detectada por ESET NOD32 como Win32/Induc.A virus. En las primeras 24 horas de la aparición de este código malicioso, nuestro sistema estadístico de malware, ThreatSense.Net, ha detectado más de 30 mil archivos modificados por esta amenaza.

Lo novedoso de este código malicioso radica en que esta infecta inicialmente los archivos del lenguaje de programación Delphi, para que cada aplicación que se genere con este lenguaje sea modificado con el código del malware. Esto significa que cualquier empresa o desarrollador que tenga su sistema infectado y luego compile una aplicación nueva, esta contendrá el malware.

La siguiente imagen resume el comportamiento del virus:

http://s3.subirimagenes.com:81/privadas/previo/thump_602155induc1.png (http://www.subirimagenes.com/privadas-induc1-602155.html)

El funcionamiento del código malicioso parece referir a una prueba de concepto (PoC), ya que no posee rutinas dañinas ni instrucciones destructivas, sino únicamente las modificaciones en el lenguaje para continuar con la reproducción del malware en diversos sistemas.

Delphi es un lenguaje de programación muy utilizado, especialmente en sistemas que requieran bases de datos robustas y mucho procesamiento de información, como bancos u organizaciones financieras. De esta forma, las empresas que se dediquen al desarrollo de aplicaciones y utilicen este lenguaje de programación, se verán muy afectadas, ya que de tener sus sistemas infectados, todas las aplicaciones que generen para sus clientes tendrán código malicioso embebido, y serán detectadas como amenazas por el antivirus.

En el día de la fecha, Juraj Malcho, líder del laboratorio de ESET en Slovakia, nos comentaba que: “en el primer periodo de aparición de la amenaza, cuando el virus aún no era detectado, logró infectar un número importante de sistemas. Con la detección, muchas empresas se nos acercaron indicando que la detección de sus aplicaciones eran falsos positivos, cuando en realidad esto no es así”.

Por este motivo es importante que aquellos que se dediquen al desarrollo en lenguaje Delphi, conozcan esta amenaza y aseguren sus sistemas para no sufrir este problema, que no se debe a un falso positivo, y puede dañar la reputación de la empresa y los profesionales, además de contribuir con la propagación de Induc.

La amenaza continuará su propagación y es de esperar que otras funcionalidades sean incluidas en nuevas variantes, o futuras amenazas; incluso con capacidades más destructivas, o afectando otros lenguajes de programación.

Otra cosa curiosa e irónica que ha ocurrido es que ya hemos detectado otros troyanos compilados en Delphi e infectados con este virus, lo cual significa que el desarrollador del troyano había sido infectado previamente.

El Laboratorio de ESET agradece a los desarrolladores que han colaborado en el reporte y pruebas de conceptos realizadas para realizar este informe.

Sebastián

Extraido de http://blogs.eset-la.com/laboratorio/2009/08/20/win32-induc-infecta-archivos-delphi/

Aver si alguno mas lo detecto yo lo detecte con el NOD32 v2.7

Saludos!

Win32/Induc.A: nueva amenaza orientada a desarrolladores
Agosto 20, 2009 6:00 am

Una nueva amenaza está siendo propagada en las últimas horas y es detectada por ESET NOD32 como Win32/Induc.A virus. En las primeras 24 horas de la aparición de este código malicioso, nuestro sistema estadístico de malware, ThreatSense.Net, ha detectado más de 30 mil archivos modificados por esta amenaza.

Lo novedoso de este código malicioso radica en que esta infecta inicialmente los archivos del lenguaje de programación Delphi, para que cada aplicación que se genere con este lenguaje sea modificado con el código del malware. Esto significa que cualquier empresa o desarrollador que tenga su sistema infectado y luego compile una aplicación nueva, esta contendrá el malware.

La siguiente imagen resume el comportamiento del virus:

http://s3.subirimagenes.com:81/privadas/previo/thump_602155induc1.png (http://www.subirimagenes.com/privadas-induc1-602155.html)

El funcionamiento del código malicioso parece referir a una prueba de concepto (PoC), ya que no posee rutinas dañinas ni instrucciones destructivas, sino únicamente las modificaciones en el lenguaje para continuar con la reproducción del malware en diversos sistemas.

Delphi es un lenguaje de programación muy utilizado, especialmente en sistemas que requieran bases de datos robustas y mucho procesamiento de información, como bancos u organizaciones financieras. De esta forma, las empresas que se dediquen al desarrollo de aplicaciones y utilicen este lenguaje de programación, se verán muy afectadas, ya que de tener sus sistemas infectados, todas las aplicaciones que generen para sus clientes tendrán código malicioso embebido, y serán detectadas como amenazas por el antivirus.

En el día de la fecha, Juraj Malcho, líder del laboratorio de ESET en Slovakia, nos comentaba que: “en el primer periodo de aparición de la amenaza, cuando el virus aún no era detectado, logró infectar un número importante de sistemas. Con la detección, muchas empresas se nos acercaron indicando que la detección de sus aplicaciones eran falsos positivos, cuando en realidad esto no es así”.

Por este motivo es importante que aquellos que se dediquen al desarrollo en lenguaje Delphi, conozcan esta amenaza y aseguren sus sistemas para no sufrir este problema, que no se debe a un falso positivo, y puede dañar la reputación de la empresa y los profesionales, además de contribuir con la propagación de Induc.

La amenaza continuará su propagación y es de esperar que otras funcionalidades sean incluidas en nuevas variantes, o futuras amenazas; incluso con capacidades más destructivas, o afectando otros lenguajes de programación.

Otra cosa curiosa e irónica que ha ocurrido es que ya hemos detectado otros troyanos compilados en Delphi e infectados con este virus, lo cual significa que el desarrollador del troyano había sido infectado previamente.

El Laboratorio de ESET agradece a los desarrolladores que han colaborado en el reporte y pruebas de conceptos realizadas para realizar este informe.

Sebastián

Extraido de http://blogs.eset-la.com/laboratorio/2009/08/20/win32-induc-infecta-archivos-delphi/

Aver si alguno mas lo detecto yo lo detecte con el NOD32 v2.7

Saludos!



somo dos!

http://img190.imageshack.us/img190/8233/playonline.th.jpg (http://img190.imageshack.us/i/playonline.jpg/)

pero el vicio puede mas! xD

somo dos!

http://img190.imageshack.us/img190/8233/playonline.th.jpg (http://img190.imageshack.us/i/playonline.jpg/)

pero el vicio puede mas! xD

el virus ke tenes en la placa roja ese de audio nose cuanto yo tmb lo tenia una vez me salto eso pero yo tengo el nod32 en ingles y entonces no le di pelota y no me volvio a saltar jamas

FUE FUE ahora les doy la orden a mis investigadores de desarollo en el lenguaje delphi que desinstalen el l2 de todas las pc.

(?)

el virus ke tenes en la placa roja ese de audio nose cuanto yo tmb lo tenia una vez me salto eso pero yo tengo el nod32 en ingles y entonces no le di pelota y no me volvio a saltar jamas


solo el primero es del audio...los demas no...

La verdad que desde hace tres dias que me paso eso con el update... nose que onda, desinstale el juego y elimine virus...

Nose si o cambio el antivirus, o desactivo mientra hace el update, o mando todo a la mierda...?
:P

A bastante parece pasarles... estaria bueno que alguno del staff de algun dato violento sobre el tema

:)

Mientras tanto... sigan extrañandome!

ch4n0 aviso q el parche se lo puede detectar como virus por q tienen los datos encriptados y el antivirus al no poderlos leer los detecta como tal

= esperen q algun GM MOD les de una respuesta :)

Si gente... me sumo a la lista... en si en mi caso no me jode que afecte libreria delphi puesto que no utilizo ese lenguaje de programacion... pero el antivirus jode demasiado... tira cartelitos cada 5 minutos... y sinceramente es un poco molesto a veces

no es un virus..... es que el parche tiene información encriptada, como el antivirus no lo puede scanear lo reconoce como tal. en el nod vas a la cuarentena y pones restaurar el archivo y listo...

Si gente... me sumo a la lista... en si en mi caso no me jode que afecte libreria delphi puesto que no utilizo ese lenguaje de programacion... pero el antivirus jode demasiado... tira cartelitos cada 5 minutos... y sinceramente es un poco molesto a veces

ponelo como excepcion :P

Si gente... me sumo a la lista... en si en mi caso no me jode que afecte libreria delphi puesto que no utilizo ese lenguaje de programacion... pero el antivirus jode demasiado... tira cartelitos cada 5 minutos... y sinceramente es un poco molesto a veces

la verdad que últimamente ,desde que actualice la vercion , tira carteles por todo,aparte te bloquea todo, es muy molesto tube que borrarlo porque no podia instalar el hamachi par a jugar las pess online,

Aver si nos entendemos es un virus que valla asaber por que infecto al parche del server osea... puede ser que cuando chano o el responsable en compilar dicho parche del server le entro este viris y recien el dia 20 se detecto oficialmente la cuestion es que el virus da la casualidad que esta en el parche pero un suponer tambien pudo aver infectado otras maquinas que no tienen L2 yo que se infecto archivos DLL del windos (es un ejemplo no digo que alla pasado) para que se entienda lo que dijo chano es que los antivurus van a detectar el parche como un virus por que el parche esta compilado de forma que el ejecutable sea un modificador de ficheros entonces el antivirus supone que es malisioso pero en realidad lo que hace es instalar archivos en la maquina nada mas pero como se lo explicas al antiviru (?) aver si se entiende...

Saludos...

Yo vi que chano habia dicho que como tenia archivos encriptados te los tomaba como virusporque no los podia leer o algo asi..si encuentro el thread quoteo

Bueno... definitivamente hay una sola respuesta al interrogante de si hay virus o no... a ver la compilacion del .exe y veamos si hay algo realmente malefico (virus) o simplemente es un exe comun y corriente..
en fin... esto va a tomar su ratito de laburo :S

Jajajajajajaajajaj... recuerdo que en visual basic, tambien pasaba una cosa parecida cuando copilabas usando una version trucha, jajajajajaja...
Lo mejor en estos casos es usar un antivirus POTENTE como el que uso YO... "EndPoint" de symantec, no te rompe las bolainas con el parche de HB, porque el scan proactivo para detectar ingenieria de virus NO conocidos, es tan buena que...
no te detecta este problema con el parche, no te detecta NINGUNA CLASE DE VIRUS NO CONOCIDOS!!! JAJAJAJAJAJAJAJAJAJAJA ES MAS EL ENDPOINT NO DETECTA VIRUS!!!
Por eso a la hora de elegir, elegi Symantec EndPoint, lo mejor del mercado para Gamers, que juegan servidores no oficiales!!!
No pasa nada mandale mecha numas, que no es un keylogger!!! jajajajajajaja

avian avisado q saltaba el antivirus con el parche nuevo pero q no es un virus... tenes q ponerlo como exepcion habia un post de schatten al respecto creo buscalo...

Jajajajajajaajajaj... recuerdo que en visual basic, tambien pasaba una cosa parecida cuando copilabas usando una version trucha, jajajajajaja...
Lo mejor en estos casos es usar un antivirus POTENTE como el que uso YO... "EndPoint" de symantec, no te rompe las bolainas con el parche de HB, porque el scan proactivo para detectar ingenieria de virus NO conocidos, es tan buena que...
no te detecta este problema con el parche, no te detecta NINGUNA CLASE DE VIRUS NO CONOCIDOS!!! JAJAJAJAJAJAJAJAJAJAJA ES MAS EL ENDPOINT NO DETECTA VIRUS!!!
Por eso a la hora de elegir, elegi Symantec EndPoint, lo mejor del mercado para Gamers, que juegan servidores no oficiales!!!
No pasa nada mandale mecha numas, que no es un keylogger!!! jajajajajajaja


ajajaja mortal tu antivirus!!!
sin novedades hasta el dia de la fecha!

saludos!

P/d: jorge si hacemos algo parecido a la tripe entente cordiale con los chicos del clan?el para que ni idea...

ajajaja mortal tu antivirus!!!
sin novedades hasta el dia de la fecha!

saludos!

P/d: jorge si hacemos algo parecido a la tripe entente cordiale con los chicos del clan?el para que ni idea...

off: Oka... pero... Ni pienses que yo hago de Frances, son muy valientes (?)
on: No pasa nada con ese virus no jodan XD

Aca ta todo...

C:\Juegos\Lineage II The Kamael Hellbound Server PlayOnline\system\L2.exe - Variante modificada de Win32/Induc.A (Virus)
C:\Juegos\Lineage II The Kamael Hellbound Server PlayOnline\system\window.dll - Variante modificada de Win32/Induc.A (Virus)
C:\Juegos\Lineage II The Kamael Hellbound Server PlayOnline\system\ALAudio.dll - Variante modificada de Win32/Induc.A (Virus)
C:\Juegos\Lineage II The Kamael Hellbound Server PlayOnline\system\msxml4b.dll - Variante modificada de Win32/Induc.A (Virus)
C:\Juegos\Lineage II The Kamael Hellbound Server PlayOnline\system\msxml4c.dll - Variante modificada de Win32/Induc.A (Virus)


L2.exe
window.dll
ALAudio.dll
msxml4b.dll
msxml4c.dll

Saludos...

Aca ta todo...

C:\Juegos\Lineage II The Kamael Hellbound Server PlayOnline\system\L2.exe - Variante modificada de Win32/Induc.A (Virus)
C:\Juegos\Lineage II The Kamael Hellbound Server PlayOnline\system\window.dll - Variante modificada de Win32/Induc.A (Virus)
C:\Juegos\Lineage II The Kamael Hellbound Server PlayOnline\system\ALAudio.dll - Variante modificada de Win32/Induc.A (Virus)
C:\Juegos\Lineage II The Kamael Hellbound Server PlayOnline\system\msxml4b.dll - Variante modificada de Win32/Induc.A (Virus)
C:\Juegos\Lineage II The Kamael Hellbound Server PlayOnline\system\msxml4c.dll - Variante modificada de Win32/Induc.A (Virus)


L2.exe
window.dll
ALAudio.dll
msxml4b.dll
msxml4c.dll

Saludos...

Exclusion y lito XD no se rompan la cabeza... todos llevamos un virus dentro (?)

Exclusion y lito XD no se rompan la cabeza... todos llevamos un virus dentro (?)

en tu caso llevas solitaria no?
xD


off: Oka... pero... Ni pienses que yo hago de Frances, son muy valientes (?)
on: No pasa nada con ese virus no jodan XD


chester es frances...vos que vas a ser?
hacemos asi la primera royal que sea de francia y la segunda de ingleses....yo soy ruso!! xD


y si cada vez que apago la pc me saltan esos errores,no les puedo sacar screen por que la pc se apaga muy rapido y obviamente no me guarda la imagen del error dll....

Bueno en vista de que esto sigue abierto... paso a dejarles los resultados de mi investigacion o algo asi...
Despues de recontra quemarme los sesos para tratar de entender que era lo que pasaba con el parche de PO descubri que el l2.exe que detecta como virus, no es tal... asi como los dll asociados directamente a este ejecutable... el problema como dijeron los miembros del staff radica en la codificacion... la cual es similar al famoso win32 Induc A virus. Pero reitero no es ningun virus... es tan solo que la mayoria de los antivirus tienden a creerse algo asi como dictadores o super genios aun no lo se, y dicen... mira... esto no lo entiendo... y como no lo entiendo no le permito vivir... es un virus... y taran te aparece el cartelito y vos por cagaso le das suprimir y fue... en fin... mas alla de la ironia del momento, quedense tranquilos... es simplemente un juego por parte del antivirus dictador que casi todos debemos tener (salvando songoq que tiene algo que no se que cornos sera xD)
Asique dejen de preocuparse... Enjoy the game... disfruten... y salgan a ver el sol cada tanto que todavia tenemos capa de ozono

Si alguien me puede facilitar la guia que posteo schatten sobre como añadir excepciones para el l2 que me tiene los huevos al plato este virus ya xD

Desde el momento en q subieron el parche aclararon q el nod32 y otros antivirus podian detectarlo asi x la forma en q estaba encriptado, esta limpio el parche, no se hagan mas drama.

Pueden bajarlo con el antivirus en off y despues lo reactivan o bien marcarlo para q el antivirus no lo analize

El parche no tiene virus lo explicamos una y otra vez desde la Version V17 del parche de C4 -.-

la guia para ver como ponerlo en excepsion esta en la seccion "GUIAS"(q raro q este en su lugar).

Cerrado.

Saludos.