Le nouvel « infecteur » de fichiers est doté des capacités d’un botnet et est extrêmement viral.
Une version plus sérieuse, et plus dangereuse, du malware compiler-un-virus nommé Win32.Induc.A s’est diffusée se propage sur le Web. Ce malware, probablement le plus novateur à s’être manifesté cette année, est capable d’infecter tous les fichiers exécutables qu’il trouve, et est accompagné d’un botnet.
Alors que la version initiale de cet infecteur de fichiers était plutôt bénigne, en dépit de la possibilité d’ajouter son code viral à chaque application compilée, la variante remaniée que nous avons identifiée frappe plus fort et se montre vraiment malveillante. Tandis que la version précédente (Win32.Induc.A) ne visait que les compilateurs Delphi des versions 4 à 7, la nouvelle variante (identifiée comme Win32.Induc.P) est capable d’infecter à la fois le compilateur Delphi et des produits plus récents d’Embarcadero (de RAD Studio 2005 jusqu’à RAD Studio XE).
Et en plus, tandis que le code malveillant ne pouvait infecter que des applications créées avec le compilateur infecté, la nouvelle version d’Induc est capable d’infecter tout fichier exécutable qu’il trouve sur le PC. A l’instar d’un ver il peut « sauter » d’un ordinateur à l’autre par l’intermédiaire de supports amovibles comme les clés et les disques durs USB ou encore les cartes mémoires.
Quand une application infectée est lancée, le virus, qui contient un téléchargeur, essaie de se connecter à des URL cryptées contenues dans son code. Il commence alors à télécharger le malware spécifié et l’installe sur l’ordinateur déjà corrompu. Les échantillons analysés par Bitdefender étaient en train d’installer en même temps un keylogger et une backdoor permettant au cyber-attaquant de prendre le contrôle de l’ordinateur à distance.
Pourquoi ce malware n’est pas à prendre à la légère ?
L’une des pires choses qu’il puisse arriver est que les virus infectent réellement les fichiers. Votre système peut être parfaitement sain et, la seconde qui suit le lancement d’un programme, vous pouvez vous retrouver avec la plupart de vos fichiers exécutables corrompus.
En fonction de nos expériences avec les précédentes variantes d’Induc, nous nous attendions à ce que la variante P fasse son apparition sur les portails de téléchargement de logiciels, au moment où les développeurs trop confiants mettaient à jour leurs applications Delphi/RAD Studio, dont les compilateurs avaient été infectés. C’est une situation identique à celle où un logiciel légitime, distribué par l’intermédiaire de canaux de diffusion légitimes, peut infecter votre ordinateur. Nous vous conseillons, plus que jamais, d’analyser systématiquement tous les fichiers téléchargés avec un antivirus mis à jour.
Si vous constatez que vous avez déjà été infecté, ne craignez rien. Nous fournissons un outil de suppression gratuit, qui peut nettoyer les fichiers exécutables infectés sans aucune perte de données.
Télécharger la version 32 bits ici
Télécharger la version 64 bits ici
L’outil de suppression est mis à votre disposition par Doina Cosovan et Mihail Andronic, spécialistes des antimalware chez Bitdefender.
Source : MalwareCity, BitDefender