萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> Delphi夢魇新病毒戲耍軟件工程師

Delphi夢魇新病毒戲耍軟件工程師

作者:Spark

【賽迪網-IT技術報道】近日 國內截獲了一個針對計算機程序員、尤其是Delphi使用者的病毒“Delphi夢魇”(Win32.Induc.b.820224 ),簡單描述該毒行為,就是:它專門感染Delphi程序員的電腦,一旦成功,程序員今後寫出的任何程序,都將帶有該毒!

傳播特性

1.只會危害安裝delphi的電腦,該病毒的潛伏性很強,感染後,不做任何破壞,只是在感染的電腦上編譯EXE或DLL程序文件時,將病毒代碼植入。

2.在沒有安裝delphi的電腦上運行植入病毒代碼的EXE或DLL程序時,也不會產生任何危害,如果沒有檢查到本機安裝有delphi,病毒也不會繼續繁殖和傳播。

產生過程

當隨著被感染文件進入電腦系統,“Delphi夢魇”就開始檢驗系統中是否有 Delphi環境。它通過循環檢測注冊表鍵值的方法查找dephi的安裝目錄,如果找到dephi這個冤大頭,就將惡意代碼前排插入 SysConst.pas文件,這個文件編譯的時候,會生成SysConst.dcu,而這個文件會被添加到每個新的dephi工程中。

於是,程序員們所編寫的程序就全部帶毒了,一個個隱秘的“病毒兵工廠”就這樣誕生,更可怕的是,通過對受感染文件的分析,該毒在全球網絡中已經傳播了多月,目前已知受感染最早的系統,在2008年的年末就已中招。

貌似無威脅,實則危機四伏

雖說病毒原作者看上去沒啥壞心,但在國內廣大唯利是圖的黑客(病毒作者)眼中,這無 疑是一份大大的餡餅。自三月份刑法新條例出台、政府部門對病毒木馬編寫以及黑客行為加大打擊後,不法黑客的生意越來越難做,突然出現這種有助降低犯罪技術 門檻的安全事件,他們絕不會願意放過。目前,“Delphi夢魇”(Win32.Induc.b.820224 )的源代碼已經在網絡中完全公布流傳,無法排除國內病毒作者對其進行改造、進化的可能。如果他們對該毒加入下載木馬、盜號等惡意行為指令,很難說會DIY 出怎樣的猛毒。

安全方案

在此提醒習慣手動解決問題的Delphi程序員,這個病毒具有二次感染能力,也就是說原來你編譯出來的所有Delphi程序都可以再次感染你機器上的Delphi庫文件,如果使用自己編寫的查殺工具,請一定要檢查你所寫出的工具是否也含毒,否則將陷入一個死循環。

要徹底清除該病毒,需做到以下幾點:

1、使用殺軟掃描所有的Delphi編寫的可執行文件並清除病毒。(或直接刪除所有Delphi編寫的可執行文件,包括從網上下載的)

2、將文件 %DelphiInstallPath%/Lib/SysConst.dcu 刪掉,然後執行步驟4 或 步驟5和6。

3、將文件 %DelphiInstallPath%/Lib/SysConst.bak 改名為 SysConst.dcu,結束。

4、調用 DCC32.exe 編譯出新的 SysConst.dcu ,編譯命令如下: %DelphiInstallPath%/bin/DCC32.exe "%DelphiInstallPath%/Source/Rtl/Sys/SysConst.pas"

5、將新編譯的SysConst.dcu(在%DelphiInstallPath%/Source/Rtl/Sys/目錄下)文件復制到 %DelphiInstallPath%/Lib/ 目錄,結束。

資料來源:李鐵軍博客

copyright © 萬盛學電腦網 all rights reserved