1. 개 요
Win32/Induc 바이러스는 볼랜드사에서 제작한 델파이 프로그램의 일부 버전(Delphi4~7)에서 사용하는 특정 라이브러리(Sysconst)가 감염된 후 컴파일 과정에서 생성되는 EXE, DLL 등에 바이러스 코드를 삽입하는 기법을 사용하는 피라미드형 바이러스 입니다.
현재 국내에서 델파이로 제작된 다양한 프로그램들이 해당 악성코드에 감염된 상태로 배포되고 있으므로 주의가 필요합니다.

2. 분석 정보
 2.1 감염방법
Win32/Induc 바이러스는 델파이로 제작된 파일에 악성코드 소스가 삽입된 형태로 동작합니다. 그러나 일반적인 파일 바이러스와 달리 델파이 프로그램만을 대상으로 공격을 시도하고 실행 파일을 감염시키는 행위를 하지는 않습니다. 따라서 개발프로그램이 설치되어있지 않은 사용자들의 경우 감염 증상이 나타나지 않습니다.

감염 방식 또한 일반적인 파일 바이러스와 차이가 있습니다. 일반적인 파일 바이러스는 공격 대상 파일에 직접 악성코드 소스를 삽입하는 형태로 감염을 시키지만 Win32/Induc 바이러스는 델파이 프로그램에서 사용하는 DCU(Delphi Compiled Unit) 중 Sysconst.dcu 파일에 악성코드 소스를 삽입해두고 개발자가 프로그램을 컴파일 할때마다 저장된 악성코드 소스를 제작된 프로그램에 삽입합니다.

백신 외에 파일의 감염여부를 추가 확인해보기 위해서는 델파이로 제작된 프로그램을 에디트 프로그램(BinText, Hiew 등)을 이용하여 오픈한 후 아래와 같은 문자열의 존재여부를 확인함으로써 판단할 수 있습니다.
 
[그림 1. 감염여부 수동확인]

2.2 감염 과정

1) 델파이 제품(버전별 4.0~7.0) 설치 유무와 설치 경로를 확인합니다.
2) 델파이 설치디렉토리 내SysConst.pas을 열어 자체 문자열 코드를 삽입합니다.
3) 삽입 후 델파이 설치 루트디렉토리에 SysConst.pas를 저장합니다.
4) 정상 SysConst.dcu 파일은 SysConst.bak 파일 형태로 Backup 저장합니다.
5) 커맨드라인 컴파일러(DCC32.EXE)를 실행하여 감염된 소스코드 파일(SysConst.pas)을 컴파일하여 SysConst.dcu 파일을 생성합니다.
6) 감염된 SysConst.dcu 파일 생성 후 감염된 소스코드 SysConst.pas 파일은 삭제합니다.
7) 이후에 컴파일 되는 모든 실행 프로그램에 삽입됩니다.
8) 사용자는 바이러스에 감염된 채 배포되는 프로그램을 사용하게 됩니다.

2.3 감염 증상
감염된 프로그램을 사용하는 사용자는 별다른 감염 증상이 나타나지 않습니다. 델파이 프로그램이 설치된 개발 시스템에서 위의 방법으로 감염시키는 증상만 나타납니다.

3. 치료 이
3.1 백신(V3)을 이용할 경우
1) 진단 후 치료 : V3는 바이러스에 감염된 실행프로그램을 진단 후 치료를 수행합니다. 여기서 치료란 원본파일에 삽입된 바이러스코드 부분을 삭제하여 원본파일 상태로 되돌리는 것을 말합니다. V3와 일부 백신프로그램은 치료기능이 제공되나 대부분 백신은 삭제하게 됩니다.

2) 진단 후 삭제되는 문제 : 일부 실행 프로그램의 경우 실행파일의 사이즈를 줄이기 위해 실행압축(UPX, UPack, PECompact 등) 방법을 이용하여 압축 후 배포하게 됩니다. 실행압축된 상태에서는 진단할 수 없으므로 실행압축 해제 후 진단/치료하게 됩니다.

진단/치료 후 다시 실행압축 상태로 돌려야 하나, 불가하므로 치료할 수 없는 파일로 인식하게 되고, V3 치료방법 설정 옵션에 따라(삭제 또는 그대로 두기) 동작합니다. 바이러스에 의해 감염된 파일은 치료 또는 치료 불가능할 경우 삭제 되는 것이 정상입니다. 
 
[그림2. 바이러스 치료옵션 화면]


3.2 델파이 개발프로그램 사용자를 위한 조치방법
다음 그림과 같이 감염이 확인이 될 경우, 아래 방법으로 조치를 취하기 바랍니다.
 
[그림3. 바이러스 진단화면]

1)    감염 파일 진단(삭제) 후, 델파이가 설치된 폴더의 하위 폴더 중 bin 폴더에서 감염된 Sysconst.dcu 파일은 V3에 의해  확장자를 .dxx 등으로 임의 변경합니다.

2)    동일 폴더에 Sysconst.bak 파일이 백업되어 존재하므로 해당 백업파일의 확장자를 Sysconst.dcu로 변경합니다.(만약 파일이 존재하지 않는 경우 신뢰할 수 있는 시스템에 설치 되어있는 델파이 프로그램에서 동일한 파일을 복사해 오거나 델파이 프로그램을 재설치해야 합니다.)

3)    확장자를 변경한 Sysconst.dxx 파일은 삭제 조치합니다.

4)    감염된 채 배포된 파일의 교체를 위해 모든 프로그램을 정상 컴파일하여 사용자에게 재 배포하시기 바랍니다.

신고
Posted by 비회원