Nod32 antivirüs programının yaratıcısı ESET, dünya genelinde hızla yayılan yeni bir virüse dikkat çekiyor. Delphi tabanlı program kullananlar “Win32/Induc.A” virüsünün tehdidi altında.
Delphi yazılım dili özellikle bankalar ve yoğun veri transferi yapan güçlü veritabanı uygulamalarında kullanıldığı gibi muhasebe ya da stok takibi programlarında değerlendiriliyor. Daha da önemlisi bu yeni virüs Banker-Trojan diye adlandırılan online bankacılık müşterilerinin bilgilerini çalmaya çalışan bir tür truva atına eklenerek dağıtılmış olması mümkün.
Eset Virüs Laboratuarı‘dan verilen bilgiye göre, Delphi tabanlı program kullanıcıları yeni bir virüs tehdidi ile karşı karşıyalar. Win32/Induc.A direk olarak.exe dosyaları yerine Delphi IDE’sini etkileyen yeni bir virüs. Virüs’ün bulaştığı bir makinede derlenen tüm uygulamalar aynı şekilde etkileniyor.
Virüs’ün kendisi yıkıcı bir özelliğe sahip değil fakat hızla yayılmak için yenilikçi ve yaygın olmayan teknikler kullanıyor. ESET’in erken uyarı sistemi ThreatSense.Net sayesinde virüsün ortaya çıkmasının ardından ilk 24 saat içerisinde ESET’in eline 30.000’in üzerinde benzersiz örnek geçti ve bunların büyük çoğunluğu virüsten etkilenmiş yasal uygulamalar.
Yanlış Tespit gibi Görünüyor
ESET Virüs Laboratuarı Müdürü Juraj Malcho’ya göre, düşünülmesi gereken nokta, virüsün tespit edilemediği ve yüksek miktarda bilgisayarı etkilediği zaman dilimi içerisinde etkilenen dosyaların uygulamanın üreticisi tarafından bizzat dağıtılmış olması.
ESET’i asıl endişelendiren konunun, uygulamayı dağıtan firmanın bu virüs’ün tespit edilmesini false-positive (yanlış tespit) olarak değerlendirmesi olduğu bildiriliyor.
“Delphi IDE kullanan yazılım geliştiricilerin özellikle dikkat etmesi gereken durum antivirus programı tarafından tespit edilen Win32/Induc.A virüsünün false-positive (yanlış tespit) olmadığı” diyen EST yetkilileri, Integrated Development Environment’ın (IDE) bu virüsten etkilenmesi sonucu bu ortamda derlenen tüm uygulamalar da etkileneceğini belirtiyorlar.
Sonuç olarak yasal bir uygulama satın alan son kullanıcı uygulamayı çalıştırdığı anda virüs tehdidi ile karşılaşacak. Bilgisayarında Win32/Induc.A tehdidi tespit edilen son kullanıcılar vakit kaybetmeden uygulama geliştiricileri ile irtibat kurması gerektiği belirtiliyor.
Virüs heran Banker Trojan’a Dönüşüp Banka Hesaplarınızı Boşaltabilir
Virüsün ilk örneklerinin Nisan 2009 tarihinde ortaya çıktığı tahmin ediliyor. Bu güne kadar sessiz sedasız tespit edilmeden gelmiş olmasının sebebi ise Delphi programlama dilinin hacimli ve çok katmanlı, buna karşın virüsün kendisinin oldukça küçük olması. Dahası bu virüsün Banker-Trojan diye adlandırılan online bankacılık müşterilerinin bilgilerini çalmaya çalışan bir tür truva atına eklenerek dağıtılmış olması mümkün.
Bu tip truva atları tespit edilirken Win32/Induc.A ufak eklenti özelliği sayesinde virüs araştırmacılarının gözünden kaçmış olabilir. ESET’in elindeki bu virüs tarafından etkilenmiş binlerce örnek içerisinde Win32/Spy.Banker olarak etiketlenenler ağırlıkta.
Win32/Spy.Banker çoğunlukla Rus ve Brezilya kökenli bilgisayar kullanıcılarını hedef alırken yayılım ağının diğer ülkelere sıçramasının mümkün olduğu bildiriliyor.