顯然,這是壹個比較單純的技術型病毒,會讓delphi程序員不知不覺把病毒代碼加到自己的工程中。
病毒行為
1、病毒在第N次處理初始化表時(Call StartExe)進行操作,即完成在程序加載正常Delphi文件前執行病毒代碼。(數字N根據被感染用戶的Delphi版本不同有所不同)。
2、循環檢測註冊表鍵值HKLM\software\Borland\Delphi\X.0 判斷當前機器是否安裝Delphi。檢測版本(4.0 5.0 6.0 7.0)。如本機未安裝則直接跳出病毒代碼進行正常的初始化工作,不進行感染。
3、如安裝了Delphi則通過訪問註冊表得到用戶的Delphi安裝路徑。
4、根據用戶安裝路徑將源文件夾中的SysConst.pas和庫文件夾中的SysConst.dcu備份,即%%\Source\Rtl\Sys\SysConst.pas 與%%\Lib\SysConst.dcu。
5、將Delphi源碼代碼寫入源文件SysConst.pas中
6、調用%%Bin\dcc32.exe 將感染後的源碼文件SysConst.pas 生成本地庫文件放入\Lib替換SysConst.dcu文件。
7、將正常SysConst.pas備份恢復,刪除源碼中感染的文件。
8、更改庫文件中被替換後的SysConst.dcu文件時間,使其與其他文件壹致。