Delphi プログラミング言語で記述された製品版のアプリケーションとソフトウェアが、「Win32/Induc.A」として検出されることが確認されました。この新しい脅威は、コンパイル済みの実行可能形式である exeファイルを直接ターゲットとして設計されておらず、その代わりに開発環境・Delphi IDEに感染します。これにより、感染した開発環境でコンパイルされたあらゆるアプリケーションが感染することになります。
Delphi プログラミング言語は、主に銀行や、膨大な量のデータを処理している機関で利用されるデータベースアプリケーションの開発においてよく使われます。そして、そのうち数社から、すでに「Win32/Induc.A」に感染している旨の報告がありました。ウイルス自体は破壊的なものではありませんが、上述の通り、従来にない新しい技術を利用して急速に拡散しています。
ESETでは早期警告システムであるThreatSense.Netにて、ウイルスが拡散し始めた最初の24時間で30,000以上の感染した検体を入手しました。これらの検体を調査した結果、多くのものは製品版のアプリケーションに感染していることがわかりました。
ESET社ウイルス研究所所長であるJuraj Malchoによると、「我々が心配しているのは、この「Win32/Induc.A」ウイルスが検出されないまま長い間放置され、数多くのPCに感染することができていたという事実です。結果としてソフトウェア開発会社はウイルスを含んだソフトウェアを直接ユーザーに配布してしまいましたが、ソフトウェア開発会社から、このウイルスを検出したことに関して誤検出であるという報告を受けたことが残念でなりません。」
最初のウイルス検体の出現は、2009年4月までさかのぼります。今日までこのウイルスが長期間気づかれないままであった理由としては、Delphi コードが膨大化している傾向があり、このウイルス自体が非常に小さいということが考えられます。
さらに、このウイルスは Banker トロイの木馬を利用して配布されている模様です。そして、トロイの木馬自体が悪質なコードであると判断されるので、中に潜んでいるこのウイルスのミニチュアアドオンの機能を、ウイルス研究者は簡単に見逃してしまいます。
ESETによって観測された数千ものトロイの木馬の検体の中で、このウイルスに感染していて「Win32/Spy.Banker」として分類されたものは非常に多くあります。 「Win32/Spy.Banker」は、大部分はロシアとブラジルのPCユーザーを対象とします。