Evolusi program jahat (virus komputer dan malware) dinilai cenderung meningkat tidak hanya dalam intensitas dan eskalasi, tetapi juga kemampuan, modus, dan tingkat kerugian yang ditimbulkan.
Menurut perusahaan keamanan Eset, hal ini kian menegaskan bahwa penjahat cyber kian serius mengembangkan malware. Salah satu virus unik yang berhasil dideteksi Eset adalah varian baru virus yang menginfeksi bahasa pemrograman Delphi yaitu Win32/Induc.C.
"Tidak seperti pendahulunya, varian C memiliki muatan malware yang mampu menginfeksi file, sekaligus mampu mereplikasi diri," tukas Eset dalam keterangannya kepada detikINET, Rabu (21/9/2011).
Eset sendiri sebelumnya pernah mengulas tentang virus Win32/Induc.A, yang menginfeksi file-file Delphi.
Meski secara teknis informasi tersebut belum mendetil, Eset menemukan aspek yang menarik dan tidak umum dari virus tersebut yaitu tidak menyerang secara langsung file-file yang dapat diexecute, tetapi justru menjadikan daftar standar di dalam environment pemrograman Delphi sebagai target sasarannya.
Akibatnya, pertama, semua aplikasi yang berada dalam Delphi IDE akan terinfeksi. Kedua, kemungkinan, pengembangnya terinspirasi dari sebuah paper yang ditulis Ken Thompson yang memaparkan tentang metode infeksi dengan memodifikasi compiler C.
"Bahkan jika malware tersebut benar-benar hanya menginfeksi aplikasi yang diinstall dengan Delphi, malware akan cepat menyebar ke wilayah dimana terdapat aplikasi yang ditulis dengan bahasa program Delphi. Dimana ironisnya beberapa malware juga ditulis dengan Delphi," jelas Eset.
Tetapi di luar masalah mekanisme infeksi yang menarik tersebut, Induc.A tidak memiliki muatan jahat. Sayangnya, 2 tahun kemudian semuanya berubah, dengan kemunculan varian yang baru yaitu Varian C.
Versi Induc.B yang berhasil dideteksi Eset pada Juli 2011 tidak memiliki perbedaan signifikan dengan versi sebelumnya yaitu tidak terlalu mengganggu, tetapi code yang ditulis ulang pada Induc.B mengalami beberapa pengembangan yang perlu diperhatikan, yaitu:
* Seperti halnya pada Win32/Induc.A, Win32/Induc.B menginfeksi mulai dari Delphi versi 4.0 hingga versi 7.0. Induc.B juga, sedikit lebih cerdas dalam menemukan tempat direktori dimana programming environment diinstall dan memuat nama perusahaan.
* Selain menjadikan Delphi sebagai sasaran, Induc juga mampu menginfeksi Borland Developer Studio (BDS) dan Codegear BDS.
* Beberapa teknik anti-debugging mulai diperkenalkan.
* Beberapa encryption XOR sederhana mulai digunakan untuk memodifikasi code, sehingga menyulitkan analisis terhadap code tersebut.
Varian terbaru dari virus tersebut yang dikenal dengan Win32/Induc.C, tampilannya telah mengalami perubahan yang jauh lebih dramatis. Eset pertama kali berhasil mengidentifikasi versi C pada Agustus 2011. Code pada varian C, sama sekali berbeda dari pendahulunya, kesamaan hanya terdapat pada fungsinya saja yaitu sama-sama menginfeksi Delphi.
Menurut mereka, meskipun mekanisme infeksinya telah mengalami perubahan dan hanya aplikasi Delphi saja yang diinfeksi, pada varian baru juga telah dilengkapi vektor baru untuk menginfeksi semua file .exe.
Perubahan yang paling signifikan adalah dengan penambahan fungsi downloader. Induc.C akan menciptakan backdoor untuk malware lain bisa didownload dan diaktifkan, dengan demikian kemampuan malware-nya akan semakin meningkat.
Dengan memperbandingkan versi-versi dari virus tersebut, semakin jelas terlihat bahwa versi pertama dari Induc adalah versi Beta atau masih tahap pengembangan, dimana penulisnya masih melakukan eksperiman dengan berbagai metode infeksi yang menurutnya inovatif.
"Di sisi lain, varian terakhir yaitu Induc.C, adalah malware dengan tujuan yang jelas," pungkas Eset.
