金山雲安全中心近日在國內率先截獲了一個針對計算機程序員、尤其是Delphi使用者的病毒“Delphi夢魘”(Win32.Induc.b.820224),簡單描述該毒行為,就是:它專門感染Delphi程序員的電腦,一旦成功,程序員今後寫出的任何程序,都將帶有該毒!
以下是金山毒霸病毒分析組對Virus.Win32.Induc.a 感染型的分析:
一、文件信息
文件大小:163840位元組
加殼類型:ASPack 2.12
編寫語言:Borland Delphi 6.0
病毒類型:感染型
二、病毒描述
該樣本為Delphi感染型病毒,通過感染Delphi庫文件中的SysConst.dcu文件,使用戶在使用被感染的庫文件編程后,生成的文件均被感染.
三、病毒行為
1.病毒在第N次處理初始化表時(Call StartExe)進行操作,即完成在程序載入正常Delphi文件前執行病毒代碼.(數字N根據被感染用戶的Delphi版本不同有所不同).
2.循環檢測註冊表鍵值HKLMsoftwareBorlandDelphi X.0 判斷當前機器是否安裝Delphi.檢測版本(4.0 5.0 6.0 7.0).如本機未安裝則直接跳出病毒代碼進行正常的初始化工作,不進行感染.
3.如安裝了Delphi則通過訪問註冊表得到用戶的Delphi安裝路徑.
4.根據用戶安裝路徑將源文件夾中的SysConst.pas和庫文件夾中的SysConst.dcu備份;
即%%SourceRtlSysSysConst.pas 與%%LibSysConst.dcu.
5.將Delphi源碼代碼寫入源文件SysConst.pas中
6.調用%%Bindcc32.exe 將感染后的源碼文件SysConst.pas 生成本地庫文件放入Lib替換SysConst.dcu文件.
7.將正常SysConst.pas備份恢復,刪除源碼中感染的文件.
8.更改庫文件中被替換后的SysConst.dcu文件時間,使其與其他文件一致.
四、病毒危害程度
該病毒實際上並不具有危害性,只是其更改了庫文件后使編譯生成的所有程序均帶有不正常代碼,而其代碼行為即為以上描述.
因為其將Delphi庫文件修改使其使用Delphi語言編譯后的文件均被感染,被感染文件大小不一,加殼情況也各異,本分析樣本只是從中隨機挑選,樣本大小與加殼類型都不具有代表性.
五、解決方案
這個病毒具有二次感染能力,也就是說原來你編譯出來的所有Delphi程序都可以再次感染你機器上的Delphi庫文件,要徹底清除該病毒需做到以下幾點:
1、不要運行任何Delphi編寫的程序.
2、使用殺軟掃描所有的Delphi編寫的可執行文件並清除病毒.(或直接刪除所有哦的Delphi編寫的可執行文件,包括從網上下載的)
3、將文件
[火星人 ] 病毒分析組:Delphi新病毒Win32.Induc分析報告已經有295次圍觀