1.文件信息文件大小:163840字節Shell類型:ASPack 2.12編寫語言:Borland Delphi 6.0病毒類型:感染型2。病毒描述這個樣本是壹個Delphi感染的病毒。通過感染Delphi庫文件中的SysConst.dcu文件,用戶使用被感染的庫文件編程後,所有生成的文件都會被感染。三、病毒行為1。病毒在第n次處理初始化表時運行(調用StartExe),即在程序加載正常Delphi文件之前執行病毒代碼。(數字n根據被感染用戶的Delphi版本而變化)。2.檢查註冊表鍵值HKLM \軟件\ Borland \ Delphi \ X.0以確定當前計算機上是否安裝了Delphi。測試版本(4.0 5.0 6.0 7.0)。如果本機沒有安裝,會直接跳出病毒代碼進行正常初始化,不會感染。3.如果安裝了Delphi,可以通過訪問註冊表獲得用戶的Delphi安裝路徑。4.按照用戶安裝路徑備份source文件夾中的SysConst.pas和library文件夾中的SysConst.dcu,即% \ source \ RTL \ sys \ sysconst.pas和% \ lib \ sysconst.dcu. 5 .將Delphi源代碼寫入源文件SysConst.pas. 6。調用%%Bin\dcc32.exe,從被感染的源文件sysconst.pas生成本地庫文件,放入\Lib中替換SysConst.dcu文件。7.恢復正常的SysConst.pas備份,刪除源代碼中被感染的文件。8.更改庫文件中被替換的SysConst.dcu文件的時間,使其與其他文件壹致。四、病毒危害程度病毒其實危害不大,但在更改庫文件後,編譯生成的程序都有異常代碼,其代碼行為如上所述。因為它修改了Delphi庫文件,所以所有用Delphi語言編譯的文件都會被感染,所以被感染的文件大小不壹,打包的情況也不壹樣。本次分析的樣本只是隨機選取的,樣本大小和包裝類型不具有代表性。五、解決方法這種病毒具有二次感染的能力,也就是說妳編譯的所有Delphi程序都可以再次感染妳機器上的Delphi庫文件。要徹底清除此病毒,您需要執行以下操作:1。不要運行任何Delphi寫的程序。2.掃描所有Delphi寫的可執行文件,通過查殺軟件清除病毒。(或者直接刪除所有Delphi寫的可執行文件,包括網上下載的)3。刪除文件% Delphi installpath % \ lib \ sys const . dcu,然後執行步驟4或步驟5和6。4.將文件% Delphi installpath % \ lib \ sys const . bak重命名為SysConst.dcu,並結束。5.調用DCC32.exe編譯壹個新的SysConst.dcu編譯命令如下:% Delphi installpath % \ bin \ dcc32.exe " % Delphi installpath % \ \ source \ RTL \ sys \ sysconst . pas " 6。將新編譯的SysConst.dcu(在% Delphi installpath % \ source \ RTL \ sys \目錄下)復制到% %DelphiInstallPath%\Lib\ \目錄下,結束。
上一篇:分銷渠道管理下一篇:物流論文開題報告附題目