Delphi-Virus auf DVD des c't-Sonderhefts Hardware

Der vor rund vier Wochen von Kaspersky entdeckte Delphi-Virus ist leider auch auf der DVD des c't-Sonderhefts Hardware zu finden. Konkret sind die Benchmarkprogramme MaxxMEM 1.05, MaxxPI Multi 1.07 und MaxxPI Single 1.41 mit dem Virus infiziert. Der "Induc" getaufte Schädling befällt nur PCs mit Delphi-Entwicklungsumgebungen und verbreitet sich durch damit kompilierte Programme. Weitere Schäden richtet er nicht an, er öffnet keine Backdoors oder dergleichen auf einem System. Anwender, die keine Delphi-Umgebung installiert haben, sind nicht betroffen.

Anwender, die in Delphi programmieren, eines der genannten Programme von der DVD gestartet und keinen Virenscanner installiert haben, sollten sich einen der kostenlosen Virenscanner, etwa von AVG oder Avira, herunterladen und das System auf infizierte Anwendungen untersuchen. Avira stellt zusätzlich ein spezielles Removal Tool für Induc.A bereit.

Die Virenscanner können zwar infizierte Delphi-Programme auf dem PC erkennen und beseitigen, die Delphi-Installation jedoch nicht reparieren. Induc infiziert unter Delphi die Bibliotheksdatei SysConst.dcu, die bei positivem Befund gegen eine saubere Version ausgetauscht werden muss. In den derzeit bekannten Fällen hat der Virus glücklicherweise die alte Originaldatei SysConst.dcu in Sysconst.bak umbenannt, sodass das Umbenennen dieser Backup-Datei ausreicht, um die Installation zu bereinigen. Anschließend sollten Delphi-Entwickler ihre Anwendungen erneut übersetzen, um auszuschließen, dass diese den Schädling enthalten.

Die den c't-Sonderheften beigelegten CDs und DVDs werden routinemäßig mit mehreren Virenscannern auf Malware überprüft. Zum Zeitpunkt der DVD-Herstellung war der Schädling aber noch unbekannt; keiner der Antivirenanbieter stellte Signaturen dafür bereit. Daher konnte keiner der Scanner den Befall entdecken.

Siehe dazu auch:

• Banking-Trojaner mit Delphi-Virus infiziert, Meldung auf heisec
• Virus infiziert Entwicklungsumgebung, Meldung auf heisec

(dab)