近日中国捕获了一个对于电子计算机程序员、尤其是Delphi使用人的病毒“Delphi噩梦”(Win32.Induc.b.820224 ),简易叙述该毒个人行为,便是:它专业感染Delphi程序员的计算机,一旦取得成功,程序员将来写下的其他程序流程,都将含有该毒!
散播特点
1.只能伤害安裝delphi的计算机,该病毒的自限性很强,感染后,不做一切毁坏,仅仅在感染的电脑编译EXE或DLL程序流程文件时,将病毒编码嵌入。
2.在沒有安裝delphi的电脑运作嵌入病毒编码的EXE或DLL程序流程时,也不会造成一切伤害,要是没有查验到远程服务器安裝有delphi,病毒也不会再次繁育和散播。
造成全过程
当伴随着被感染文件进到电脑操作系统,“Delphi噩梦”就逐渐检测系统软件中能否有Delphi自然环境。它利用循环系统检验注册表文件键值的方式搜索dephi的安装文件,假如寻找dephi这一冤大头,就将恶意程序前座插进SysConst.pas文件,这一文件编译的情况下,会转化成SysConst.dcu,而这一文件会被加入到每一个新的dephi工程项目中。
因此,程序员们所编写的流程就所有带毒了,一个个秘密的“病毒兵工厂”就是这样问世,更糟糕的是,根据对受感染文件的剖析,该毒在世界互联网中早已传递了多月,现阶段已经知道受感染最开始的系统软件,在2008年的年底就已有没有中招。
好像无危害,其实危机四伏
虽然病毒创作者看起来没啥坏心,但在中国众多利欲熏心的网络黑客(病毒创作者)眼里,这显然是一份极大地馅儿饼。自三月份刑法新规章颁布、政府机构对病毒木马病毒编写及其网络黑客个人行为增加打压后,非法网络黑客的业务愈来愈难做,突然冒出这类有助于减少违法犯罪技术性门坎的安全事故,她们绝对不会想要忽略。现阶段,“Delphi噩梦”(Win32.Induc.b.820224 )的源码早已在互联网中彻底发布广为流传,没法清除中国病毒创作者对它进行更新改造、演变的很有可能。假如她们对该毒添加免费下载木马病毒、盗号软件等故意个人行为命令,不好说会DIY出如何的猛毒。
安全应急预案
在这里提示习惯性手动式解决困难的Delphi程序员,这一病毒具备二次感染工作能力,换句话说原来你编译出去的全部Delphi程序流程都能够再度感染你设备上的Delphi库文件,假如应用自身编写的杀毒专用工具,请一定要查验你所写下的专用工具是不是也含毒,不然将深陷一个无限循环。
要完全清除该病毒,需保证以下几个方面:
1、应用杀毒软件扫描仪全部的Delphi编写的可实行文件并消除病毒。(或立即删掉全部Delphi编写的可实行文件,包含从网络上免费下载的)
2、将文件 �lphiInstallPath%\Lib\SysConst.dcu 删除,随后实行流程4 或 步骤5和6。
3、将文件 �lphiInstallPath%\Lib\SysConst.bak 更名为 SysConst.dcu,完毕。
4、启用 DCC32.exe 编译更新的 SysConst.dcu ,编译指令如下所示: �lphiInstallPath%\bin\DCC32.exe "�lphiInstallPath%\\Source\Rtl\Sys\SysConst.pas"
5、将新编译的SysConst.dcu(在�lphiInstallPath%\\Source\Rtl\Sys\文件目录下)文件拷贝到 �lphiInstallPath%\Lib\ 文件目录,完毕。