壹.檔案信息
文件大小:163840字節
破碎類型:ASPack 2.12
寫作語言:Borland Delphi 6.0
病毒類型:傳染性類型
二、病毒描述
這個樣本是德爾福感染的病毒。通過感染Delphi庫文件中的SysConst.dcu文件,使用戶用被感染的庫文件編程後生成的文件全部被感染。
第三,病毒行為
1.病毒在第n次處理初始化表時運行(調用StartExe),即在程序加載正常Delphi文件之前執行病毒代碼。(數字n根據被感染用戶的Delphi版本而變化)。
2.檢查註冊表鍵值HKLM \軟件\ Borland \ Delphi \ X.0以確定當前計算機上是否安裝了Delphi。測試版本(4.0 5.0 6.0 7.0)。如果本機沒有安裝,會直接跳出病毒代碼進行正常初始化,不會感染。
3.如果安裝了Delphi,可以通過訪問註冊表獲得用戶的Delphi安裝路徑。
4.根據用戶安裝路徑,備份源文件夾中的SysConst.pas和庫文件夾中的SysConst.dcu。
即%%\Source\Rtl\Sys\SysConst.pas和%% \ lib \ sysconst.dcu
5.將Delphi源代碼寫入源文件SysConst.pas
6.調用%%Bin\dcc32.exe將受感染源文件SysConst.pas生成的本地庫文件放入\Lib中,替換SysConst.dcu文件。
7.恢復正常的SysConst.pas備份,刪除源代碼中被感染的文件。
8.更改庫文件中被替換的SysConst.dcu文件的時間,使其與其他文件壹致。
第四,病毒的危害程度
其實病毒並無危害,只是它更改庫文件後,所有編譯的程序都有異常代碼,其代碼行為如上所述。
因為它修改了Delphi庫文件,所以所有用Delphi語言編譯的文件都會被感染,所以被感染的文件大小不壹,打包的情況也不壹樣。本次分析的樣本只是隨機選取的,樣本大小和包裝類型不具有代表性。
動詞 (verb的縮寫)解決方法
這種病毒具有二次感染的能力,也就是說妳編譯的所有Delphi程序都可以再次感染妳機器上的Delphi庫文件。要完全刪除此病毒,您需要執行以下操作:
1.不要運行任何Delphi寫的程序。
2.掃描所有Delphi寫的可執行文件,通過查殺軟件清除病毒。(或者直接刪除所有Delphi寫的可執行文件,包括網上下載的)
3.刪除文件% Delphi installpath % \ lib \ sys const . dcu,然後執行步驟4或步驟5和6。
4.將文件% Delphi installpath % \ lib \ sys const . bak重命名為SysConst.dcu,並結束。
5.調用DCC32.exe編譯壹個新的SysConst.dcu編譯命令如下:% Delphi installpath % \ bin \ dcc32.exe " % Delphi installpath % \ \ source \ RTL \ sys \ sysconst . pas "。
6.將新編譯的SysConst.dcu(在% Delphi installpath % \ source \ RTL \ sys \目錄下)復制到% %DelphiInstallPath%\Lib\ \目錄下,結束。
查殺工具下載地址:
/thread-22092705-1-1 . html
抄襲無罪~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~