nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
Virus « Delphi » : plus de peur que de mal pour les développeurs
Même s'il n'est pas nuisible, le virus Win32.Induc.A a démontré que le langage de programmation présentait une vulnérabilité, pour l’instant inexploitée. Interview de John Colibri, expert en Delphi.
La semaine dernière, le langage de programmation objet Delphi se découvrait une nouvelle vulnérabilité, que le virus Win32.Induc.A utilise pour proliférer dans de nombreuses applications. Pour autant, ce virus n'est pas une « menace » puisqu'il n'est en rien nocif. Son seul objectif est de se dupliquer, comme nous l'explique John Colibri, formateur en Delphi à l'Institut Pascal et auteur de plus de quinze livres de programmation.
01net. : Comment Win32.Induc.A fonctionne-t-il ?
John Colibri : Le virus se propage uniquement au sein des environnements de développement Delphi pour les versions 4 à 7 (donc antérieures à 2002). Les versions Delphi 8 et suivantes ne sont en rien concernées. Win32.Induc.A utilise le fichier Sysconst.pas, qui fait partie de la librairie système Delphi et qui contient des constantes. Cette librairie est utilisée au format compilé .dcu. Elle est aussi fournie comme toutes les autres librairies des composants en source au format .pas.
Or le virus modifie le fichier Sysconst.pas puis appelle le compilateur en ligne Dcc32.exe, qui fournit alors une version modifiée de Sysconst contenant elle-même le code de modification. Les programmes compilés font pratiquement tous appel à Sysconst. Donc les .exe seront automatiquement infectés. Et tout utilisateur de ce fichier .exe, s'il utilise Delphi, verra sa version de Sysconst infectée et ainsi de suite…
John Colibri : Le virus se propage uniquement au sein des environnements de développement Delphi pour les versions 4 à 7 (donc antérieures à 2002). Les versions Delphi 8 et suivantes ne sont en rien concernées. Win32.Induc.A utilise le fichier Sysconst.pas, qui fait partie de la librairie système Delphi et qui contient des constantes. Cette librairie est utilisée au format compilé .dcu. Elle est aussi fournie comme toutes les autres librairies des composants en source au format .pas.
Or le virus modifie le fichier Sysconst.pas puis appelle le compilateur en ligne Dcc32.exe, qui fournit alors une version modifiée de Sysconst contenant elle-même le code de modification. Les programmes compilés font pratiquement tous appel à Sysconst. Donc les .exe seront automatiquement infectés. Et tout utilisateur de ce fichier .exe, s'il utilise Delphi, verra sa version de Sysconst infectée et ainsi de suite…
Où et comment le virus circule-t-il ?
Essentiellement en Russie, par l'utilisation de logiciels de messagerie instantanée écrits en Delphi.
Essentiellement en Russie, par l'utilisation de logiciels de messagerie instantanée écrits en Delphi.
Comment réagir ?
Le moyen qui me paraît le plus évident consiste à modifier l'emplacement du compilateur en ligne de commande Dcc32.exe. Cela évitera déjà que la librairie soit modifiée. D'autant qu'il s'agit là d'un outil secondaire dont le développeur peut se passer (utilisation pour des Make ou Build). Une autre solution est de vérifier périodiquement la taille de son fichier Sysconst. Ou encore de créer un fichier fictif appelé Sysconst.bak, que le virus considérera comme la signature d'une installation déjà infectée. Notons aussi que la plupart des antivirus, à commencer par Kaspersky, détectent à présent Induc.A.
Le moyen qui me paraît le plus évident consiste à modifier l'emplacement du compilateur en ligne de commande Dcc32.exe. Cela évitera déjà que la librairie soit modifiée. D'autant qu'il s'agit là d'un outil secondaire dont le développeur peut se passer (utilisation pour des Make ou Build). Une autre solution est de vérifier périodiquement la taille de son fichier Sysconst. Ou encore de créer un fichier fictif appelé Sysconst.bak, que le virus considérera comme la signature d'une installation déjà infectée. Notons aussi que la plupart des antivirus, à commencer par Kaspersky, détectent à présent Induc.A.
En conclusion ?
Un virus plus grave se propage : celui de la désinformation. A force d'en parler, on finit par se faire plus peur qu'autre chose. Induc.A est présent depuis fort longtemps, essentiellement en Russie, et invisible depuis des mois du fait de son innocuité. Il pourrait cependant servir de véhicule pour des virus plus dangereux. L'agitation actuelle aura au moins permis d'éveiller notre vigilance à l'avenir.
Un virus plus grave se propage : celui de la désinformation. A force d'en parler, on finit par se faire plus peur qu'autre chose. Induc.A est présent depuis fort longtemps, essentiellement en Russie, et invisible depuis des mois du fait de son innocuité. Il pourrait cependant servir de véhicule pour des virus plus dangereux. L'agitation actuelle aura au moins permis d'éveiller notre vigilance à l'avenir.
Actu précédente
Actu Suivante
Intéressant
de
Fisterrra
, posté le 26 aout 2009 à 16h22
Cela a l'air d'un sacré oiseau que cet expert.
alerter le modérateur
à lire aussi
SUR LES MÊMES THÈMES 
