壹、文件信息 文件大小:163840字節 加殼類型:ASPack 2.12 編寫語言:Borland Delphi 6.0 病毒類型:感染型 二、病毒描述 該樣本為Delphi感染型病毒,通過感染Delphi庫文件中的SysConst.dcu文件,使用戶在使用被感染的庫文件編程後,生成的文件均被感染。 三、 病毒行為 1. 病毒在第N次處理初始化表時(Call StartExe)進行操作,即完成在程序加載正常Delphi文件前執行病毒代碼。(數字N根據被感染用戶的Delphi版本不同有所不同)。 2. 循環檢測註冊表鍵值HKLM\software\Borland\Delphi\X.0 判斷當前機器是否安裝Delphi。檢測版本(4.0 5.0 6.0 7.0)。如本機未安裝則直接跳出病毒代碼進行正常的初始化工作,不進行感染。 3. 如安裝了Delphi則通過訪問註冊表得到用戶的Delphi安裝路徑。 4. 根據用戶安裝路徑將源文件夾中的SysConst.pas和庫文件夾中的SysConst.dcu備份 即%%\Source\Rtl\Sys\SysConst.pas 與%%\Lib\SysConst.dcu。 5. 將Delphi源碼代碼寫入源文件SysConst.pas中 6. 調用%%Bin\dcc32.exe 將感染後的源碼文件SysConst.pas 生成本地庫文件放入\Lib替換SysConst.dcu文件。 7. 將正常SysConst.pas備份恢復,刪除源碼中感染的文件。 8. 更改庫文件中被替換後的SysConst.dcu文件時間,使其與其他文件壹致。 四、 病毒危害程度 該病毒實際上並不具有危害性,只是其更改了庫文件後使編譯生成的所有程序均帶有不正常代碼,而其代碼行為即為以上描述。 因為其將Delphi庫文件修改使其使用Delphi語言編譯後的文件均被感染,所以被感染文件大小不壹,加殼情況也各異,本分析樣本只是從中隨機挑選,樣本大小與加殼類型都不具有代表性。 五、解決方案 這個病毒具有二次感染能力,也就是說原來妳編譯出來的所有Delphi程序都可以再次感染妳機器上的Delphi庫文件,要徹底清除該病毒需做到以下幾點: 1、不要運行任何Delphi編寫的程序。 2、使用殺軟掃描所有的Delphi編寫的可執行文件並清除病毒。(或直接刪除所有哦的Delphi編寫的可執行文件,包括從網上下載的) 3、將文件 %DelphiInstallPath%\Lib\SysConst.dcu 刪掉,然後執行步驟4 或 步驟5和6。 4、將文件 %DelphiInstallPath%\Lib\SysConst.bak 改名為 SysConst.dcu,結束。 5、調用 DCC32.exe 編譯出新的 SysConst.dcu ,編譯命令如下: %DelphiInstallPath%\bin\DCC32.exe "%DelphiInstallPath% \\Source\Rtl\Sys\SysConst.pas" 6、將新編譯的SysConst.dcu(在%DelphiInstallPath%\Source\Rtl\Sys\目錄下)文件復制到 %DelphiInstallPath%\Lib\ 目錄,結束。
上一篇:銷量遠超幻影?最受歡迎的勞斯萊斯車型迎來換代下一篇:機器人遞歸4怎麽編程?