Delphi夢魇新病毒戲耍軟件工程師

作者：Spark

【賽迪網-IT技術報道】近日 國內截獲了一個針對計算機程序員、尤其是Delphi使用者的病毒“Delphi夢魇”（Win32.Induc.b.820224 ），簡單描述該毒行為，就是：它專門感染Delphi程序員的電腦，一旦成功，程序員今後寫出的任何程序，都將帶有該毒！

傳播特性

1.只會危害安裝delphi的電腦，該病毒的潛伏性很強，感染後，不做任何破壞，只是在感染的電腦上編譯EXE或DLL程序文件時，將病毒代碼植入。

2.在沒有安裝delphi的電腦上運行植入病毒代碼的EXE或DLL程序時，也不會產生任何危害，如果沒有檢查到本機安裝有delphi，病毒也不會繼續繁殖和傳播。

產生過程

當隨著被感染文件進入電腦系統，“Delphi夢魇”就開始檢驗系統中是否有 Delphi環境。它通過循環檢測注冊表鍵值的方法查找dephi的安裝目錄，如果找到dephi這個冤大頭，就將惡意代碼前排插入 SysConst.pas文件，這個文件編譯的時候，會生成SysConst.dcu，而這個文件會被添加到每個新的dephi工程中。

於是，程序員們所編寫的程序就全部帶毒了，一個個隱秘的“病毒兵工廠”就這樣誕生，更可怕的是，通過對受感染文件的分析，該毒在全球網絡中已經傳播了多月，目前已知受感染最早的系統，在2008年的年末就已中招。

貌似無威脅，實則危機四伏

雖說病毒原作者看上去沒啥壞心，但在國內廣大唯利是圖的黑客（病毒作者）眼中，這無 疑是一份大大的餡餅。自三月份刑法新條例出台、政府部門對病毒木馬編寫以及黑客行為加大打擊後，不法黑客的生意越來越難做，突然出現這種有助降低犯罪技術 門檻的安全事件，他們絕不會願意放過。目前，“Delphi夢魇”（Win32.Induc.b.820224 ）的源代碼已經在網絡中完全公布流傳，無法排除國內病毒作者對其進行改造、進化的可能。如果他們對該毒加入下載木馬、盜號等惡意行為指令，很難說會DIY 出怎樣的猛毒。

安全方案

在此提醒習慣手動解決問題的Delphi程序員，這個病毒具有二次感染能力，也就是說原來你編譯出來的所有Delphi程序都可以再次感染你機器上的Delphi庫文件，如果使用自己編寫的查殺工具，請一定要檢查你所寫出的工具是否也含毒，否則將陷入一個死循環。

要徹底清除該病毒，需做到以下幾點：

1、使用殺軟掃描所有的Delphi編寫的可執行文件並清除病毒。（或直接刪除所有Delphi編寫的可執行文件，包括從網上下載的）

2、將文件 %DelphiInstallPath%/Lib/SysConst.dcu 刪掉，然後執行步驟4 或 步驟5和6。

3、將文件 %DelphiInstallPath%/Lib/SysConst.bak 改名為 SysConst.dcu，結束。

4、調用 DCC32.exe 編譯出新的 SysConst.dcu ，編譯命令如下： %DelphiInstallPath%/bin/DCC32.exe "%DelphiInstallPath%/Source/Rtl/Sys/SysConst.pas"

5、將新編譯的SysConst.dcu（在%DelphiInstallPath%/Source/Rtl/Sys/目錄下）文件復制到 %DelphiInstallPath%/Lib/ 目錄，結束。

資料來源：李鐵軍博客