A Thompson hack virus has been found in the wild and it&#39;s apparently infected some malware authors&#39; compilers.  It&#39;s interesting to see but also a bit scary.  We&#39;re going to have to look more and more at object code, not just source code for security in the future.<br>
<div class="gmail_quote">
<br><h1>BitDefender Finds Win32.Induc.A Puts Delphi Compilers at Risk and Compromises Legitimate Applications</h1>
            <div>

            <a href="http://feeds.feedburner.com/bitdefender-latest-news" target="_blank">http://news.bitdefender.com/NW1116-en--BitDefender-Finds-Win32.Induc.A-Puts-Delphi-Compilers-at-Risk-and-Compromises-Legitimate-Applications.html<br>
</a>
            </div>
<br>
<h3>The virus, called Win32.Induc.A, spreads by infecting systems that have the Delphi compiler (versions up to 7.0) installed.  </h3>
<br>
<p align="justify"><b><a href="http://www.bitdefender.com/" target="_blank">BitDefender®</a></b>
today announced the discovery of a threat that directly affects many
applications, including TabBrowser v1.0, GreenOpen, WebMoney Keeper
Classic v3.7.0.0, Tidy Favorites v4.1 and any TV Free v2.41. The
applications were being distributed with the virus code already
embedded, due to an unusual trick employed by the malware author or
authors.<br>
<br>
The virus, called <b>Win32.Induc.A</b>, spreads by infecting
systems that have the Delphi compiler (versions up to 7.0) installed.
Any programs which are subsequently compiled using the compromised
compiler contain the virus code. Although no payload is dropped or
malicious action taken other than self-reproduction, the spreading of
this virus to installer packages proves that this extremely unusual
infection vector is, in fact, valid and relevant today, raising
concerns that it will eventually be used to nefarious purposes.<br>
<br>
When executed, the virus searches for valid Delphi compiler versions
and, if found, creates a SysConst.pas file inside the compilers \Lib
folder. It writes its code inside it, then renames the SysConst.dcu
into SysConst.bak. The .pas file will be compiled then deleted. The
resulting SysConst.dcu is used by the compiler in every compilation
act, which automatically creates infected executables by including the
malicious code from inside the SysConst.dcu.<br>
<br>
An interesting aspect about the epidemic is that not only legitimate
applications have been infected, BitDefender antivirus researchers
found that several members of the Trojan.Banker malware “family” have
been compromised by Win32.Induc.A. <br>
<br>
Detected by BitDefender as <b>Trojan.Downloader.JMGZ</b>, <b><a href="http://www.bitdefender.com/VIRUS-90747-en--Trojan.Spy.Banker.HQ.html" target="_blank">Trojan.Spy.Banker.ABWA</a></b>
– ABWC, Trojan.Spy.Banker.ABWK – ABWQ and so on, these trojans target
local banks, namely Caixa – Spain’s biggest savings bank and Bradesco –
a notable bank in Brazil.<br>
<br>
Delphi developers are advised to check if their compilers&#39; \Lib folder
contains a SysConst.bak file (the most obvious sign of infection) and
to rename it to SysConst.dcu if it exists, overwriting the compromised
file, then recompile their applications.</p><br>
</div><br>