?

?

<!--StartFragment -->?Win32.Induc.A
別名:Virus.Win32.Induc.a(金山毒霸)Virus.Win32.Induc.a(Kaspersky)W32.Induc(Mcafee)Virus:Win32.Induc.A(Microsoft)
病毒類型:Virus(病毒)??
大小:?約5?KB
影響平臺:微軟Windows操作系統(tǒng)

Win32/Induc.A?是一個(gè)可以在編譯時(shí)(compile-time?)感染Delphi文件的病毒.當(dāng)隨著被感染文件進(jìn)入電腦系統(tǒng),“Delphi夢魘”就開始檢驗(yàn)系統(tǒng)中是否有Delphi環(huán)境.它通過循環(huán)檢測注冊表鍵值的方法查找dephi的安裝目錄,如果找到dephi這個(gè)冤大頭,就將惡意代碼前排插入SysConst.pas文件,這個(gè)文件編譯的時(shí)候,會生成SysConst.dcu,而這個(gè)文件會被添加到每個(gè)新的dephi工程中.該毒在全球網(wǎng)絡(luò)中已經(jīng)傳播了多月,目前已知受感染最早的系統(tǒng),在2008年的年末就已中招.反病毒工程師發(fā)現(xiàn),該毒作者的用意似乎并不在破壞,只是靜默地實(shí)現(xiàn)感染,不斷傳播代碼的主體.病毒就這樣不斷傳播,直到遍及全球所有基于Delphi環(huán)境的電腦,而對沒有安裝Delphi相關(guān)軟件的普通電腦,則是完全無效.這個(gè)病毒具有二次感染能力,也就是說原來你編譯出來的所有Delphi程序都可以再次感染你機(jī)器上的Delphi庫文件,請一定要檢查你所寫出的工具是否也含毒,否則將陷入一個(gè)死循環(huán)

該病毒針對下列文件進(jìn)行拷貝(源文件,目的文件)
%delphi?rootdir%\Lib\SysConst.dcu,%delphi?rootdir%\Lib\SysConst.bak
%delphi?rootdir%\source\rtl\sys\SysConst.pas,%delphi?rootdir%\Lib\SysConst.pas
修改了下列文件
%delphi?rootdir%\Lib\SysConst.pas
該病毒將自身源代碼寫入文件
該病毒執(zhí)行下列命令行l(wèi)
"%delphi?rootdir%\Bin\dcc32.exe"?"%delphi?rootdir%\Lib\SysConst.pas"
最終文件"%delphi?rootdir%\Lib\SysConst.dcu"包括了原始代碼
刪除了下列文件
%delphi?rootdir%\Lib\SysConst.pas
文件感染
Win32/Induc.A是一個(gè)感染Delphi編譯文件的病毒
用Delphi語言編寫的編譯程序也會攜帶病毒代碼.插入代碼的大小為5KB.
其他信息
Delphi版本4、5、6、7?均受影響

目前已經(jīng)發(fā)現(xiàn)受感染的知名程序
1.部分inno?setup增強(qiáng)版編譯環(huán)境的版本
2.某些傳奇外掛和軟件登錄器等
3.iSpeak部分修改版(官方下載沒有問題)
4.無憂登陸軟件(暫未找到那個(gè)是真官方,有個(gè)QQ無憂登錄的網(wǎng)站正常)
5.部分CS程序等
6.部分單機(jī)大型游戲安裝目錄下的info\setup.exe(魔獸爭霸III,天使帝國3等其他網(wǎng)絡(luò)流行單機(jī)游戲,多為盜版游戲官方的沒有鑒定)
7.部分迅雷Ayu修改版本
8.部分萬象2004版本
9.南京宏圖天安的個(gè)人所得稅代扣代繳系統(tǒng)(可能)

解決方案:
1、使用殺軟掃描所有的Delphi編寫的可執(zhí)行文件并清除病毒(或直接刪除所有Delphi編寫的可執(zhí)行文件,包括從網(wǎng)上下載的)
2、將文件?%DelphiInstallPath%\Lib\SysConst.dcu刪掉,然后執(zhí)行步驟4?或?步驟5
3、將文件?%DelphiInstallPath%\Lib\SysConst.bak改名為?SysConst.dcu,結(jié)束.
4、調(diào)用?DCC32.exe?編譯出新的?SysConst.dcu?,編譯命令如下:?%DelphiInstallPath%\bin\DCC32.exe?"%DelphiInstallPath%\\Source\Rtl\Sys\SysConst.pas"
5、將新編譯的SysConst.dcu(在%DelphiInstallPath%?\\Source\Rtl\Sys\目錄下)文件復(fù)制到?%DelphiInstallPath%\Lib\?目錄
6、也可以在目標(biāo)EXE(被感染的DELPHI程序)中搜索
2D000000757365732077696E646F77733B207661為感染代碼的頭,然后在2E70617300000000為感染的尾部,將這一段清零,再搜索E84AFDFFFF->9090909090就可以了,可以完美修復(fù)
注:源程序已經(jīng)加殼或數(shù)字簽名后,以上某些方法可能會失效

We?recently?added?detection?for?a?file?infector?to?our?databases,

for?something?we?call?Virus.Win32.Induc.a.?Since?then,we've?had?a?load?of?questions?about?it.?

It?doesn't?currently?have?a?malicious?payload,and?it?doesn't?directly?infect?.exe?files.?Instead,

it?checks?if?Delphi?is?installed?on?the?victim?machine,looking?for?versions?4.0,5.0,6.0?and?7.0.

If?the?malware?does?find?one?of?these?Delphi?versions,

it?copies?SysConst.pas?to?\Lib?and?writes?its?code?to?it.?

It?then?makes?a?backup?of?SysConst.dcu,calling?it?SysConst.bak?(dcu?files?are?kept?in?\Lib).

?It?then?compiles?\Lib\SysConst.pas?giving?an?infected?version?of?SysConst.dcu.?The?modified?.

pas?file?gets?deleted.

<!--StartFragment -->?
"uses?windows;
var?sc:array[1..24]?of?string=('uses?windows;?var?sc:array[1..24]?of?string=(','function?x(s:string):string;var?i:integer;begin?for?i:=1?to?length(s)?do?if?s[i]',
'=#36?then?s[i]:=#39;result:=s;end;procedure?re(s,d,e:string);var?f1,f2:textfile;','h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin',
'h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if?h<>DWORD(-1)?then?begin?CloseHandle',"
The?result?–?any?Delphi?program?compiled?on?the?computer?gets?infected.?

(We've?already?had?a?company?contacting?us?to?complain?about?something?they?thought?

was?a?false?positive.)?Maybe?this?particular?virus?isn't?that?much?of?a?threat:?it's?not?the?first?time?

we've?seen?this?propagation?method,the?code?itself?is?primitive,there's?no?other?payload,and

?there?are?far?easier?ways?to?infect?machines.?But?in?the?past?we've?seen?new?infection?routines

?get?picked?up,tweaked,and?taken?further.?We'll?be?keeping?an?eye?on?this?one,just?in?case

?

?本人參考多家網(wǎng)站綜合修改而來,包括但不限于:KINGSOFT,NOD32,KASPERSKY

delphi夢魘病毒--解決方法