delphi梦魇病毒--解决方法

cqujsjcyj

浏览: 2074316 次
性别:
来自: 厦门

最近访客更多访客>>

hezhenhuam

tcrct

u012363178

myl3017

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

delphi

Delphi 游戏金山 Windows QQ

Win32.Induc.A
别名:Virus.Win32.Induc.a(金山毒霸)Virus.Win32.Induc.a(Kaspersky)W32.Induc(Mcafee)Virus:Win32.Induc.A(Microsoft)
病毒类型:Virus(病毒)
大小: 约5 KB
影响平台:微软Windows操作系统

Win32/Induc.A 是一个可以在编译时(compile-time )感染Delphi文件的病毒.当随着被感染文件进入电脑系统,“Delphi梦魇”就开始检验系统中是否有Delphi环境.它通过循环检测注册表键值的方法查找dephi的安装目录,如果找到dephi这个冤大头,就将恶意代码前排插入SysConst.pas文件,这个文件编译的时候,会生成SysConst.dcu,而这个文件会被添加到每个新的dephi工程中.该毒在全球网络中已经传播了多月,目前已知受感染最早的系统,在2008年的年末就已中招.反病毒工程师发现,该毒作者的用意似乎并不在破坏,只是静默地实现感染,不断传播代码的主体.病毒就这样不断传播,直到遍及全球所有基于Delphi环境的电脑,而对没有安装Delphi相关软件的普通电脑,则是完全无效.这个病毒具有二次感染能力,也就是说原来你编译出来的所有Delphi程序都可以再次感染你机器上的Delphi库文件,请一定要检查你所写出的工具是否也含毒,否则将陷入一个死循环

该病毒针对下列文件进行拷贝(源文件,目的文件)
%delphi rootdir%\Lib\SysConst.dcu,%delphi rootdir%\Lib\SysConst.bak
%delphi rootdir%\source\rtl\sys\SysConst.pas,%delphi rootdir%\Lib\SysConst.pas
修改了下列文件
%delphi rootdir%\Lib\SysConst.pas
该病毒将自身源代码写入文件
该病毒执行下列命令行l
"%delphi rootdir%\Bin\dcc32.exe" "%delphi rootdir%\Lib\SysConst.pas"
最终文件"%delphi rootdir%\Lib\SysConst.dcu"包括了原始代码
删除了下列文件
%delphi rootdir%\Lib\SysConst.pas
文件感染
Win32/Induc.A是一个感染Delphi编译文件的病毒
用Delphi语言编写的编译程序也会携带病毒代码.插入代码的大小为5KB.
其他信息
Delphi版本4、5、6、7 均受影响

目前已经发现受感染的知名程序
1.部分inno setup增强版编译环境的版本
2.某些传奇外挂和软件登录器等
3.iSpeak部分修改版(官方下载没有问题)
4.无忧登陆软件(暂未找到那个是真官方,有个QQ无忧登录的网站正常)
5.部分CS程序等
6.部分单机大型游戏安装目录下的info\setup.exe(魔兽争霸III,天使帝国3等其他网络流行单机游戏,多为盗版游戏官方的没有鉴定)
7.部分迅雷Ayu修改版本
8.部分万象2004版本
9.南京宏图天安的个人所得税代扣代缴系统(可能)

解决方案:
1、使用杀软扫描所有的Delphi编写的可执行文件并清除病毒(或直接删除所有Delphi编写的可执行文件,包括从网上下载的)
2、将文件 %DelphiInstallPath%\Lib\SysConst.dcu删掉,然后执行步骤4 或步骤5
3、将文件 %DelphiInstallPath%\Lib\SysConst.bak改名为 SysConst.dcu,结束.
4、调用 DCC32.exe 编译出新的 SysConst.dcu ,编译命令如下: %DelphiInstallPath%\bin\DCC32.exe "%DelphiInstallPath%\\Source\Rtl\Sys\SysConst.pas"
5、将新编译的SysConst.dcu(在%DelphiInstallPath% \\Source\Rtl\Sys\目录下)文件复制到 %DelphiInstallPath%\Lib\ 目录
6、也可以在目标EXE(被感染的DELPHI程序)中搜索
2D000000757365732077696E646F77733B207661为感染代码的头,然后在2E70617300000000为感染的尾部,将这一段清零,再搜索E84AFDFFFF->9090909090就可以了,可以完美修复
注:源程序已经加壳或数字签名后,以上某些方法可能会失效

We recently added detection for a file infector to our databases,

for something we call Virus.Win32.Induc.a. Since then,we've had a load of questions about it.

It doesn't currently have a malicious payload,and it doesn't directly infect .exe files. Instead,

it checks if Delphi is installed on the victim machine,looking for versions 4.0,5.0,6.0 and 7.0.

If the malware does find one of these Delphi versions,

it copies SysConst.pas to \Lib and writes its code to it.

It then makes a backup of SysConst.dcu,calling it SysConst.bak (dcu files are kept in \Lib).

It then compiles \Lib\SysConst.pas giving an infected version of SysConst.dcu. The modified .

pas file gets deleted.


"uses windows;
var sc:array[1..24] of string=('uses windows; var sc:array[1..24] of string=(','function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]',
'=#36 then s[i]:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;','h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin',
'h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if h<>DWORD(-1) then begin CloseHandle',"
The result – any Delphi program compiled on the computer gets infected.

(We've already had a company contacting us to complain about something they thought

was a false positive.) Maybe this particular virus isn't that much of a threat: it's not the first time

we've seen this propagation method,the code itself is primitive,there's no other payload,and

there are far easier ways to infect machines. But in the past we've seen new infection routines

get picked up,tweaked,and taken further. We'll be keeping an eye on this one,just in case

本人参考多家网站综合修改而来,包括但不限于:KINGSOFT,NOD32,KASPERSKY

分享到：

SQL:使用Cast进行数据类型转换 | 清除系统垃圾--bat

2009-08-24 13:35
浏览 3219
评论(0)
查看更多

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

NOIP2015提高组初赛参考答案.pdf.baiduyun.uploading.cfg: NOIP2015提高组初赛参考答案.pdf.baiduyun.uploading

通知基础设施软件市场，未来几年年复合增长率CAGR为8.3%: 通知基础设施软件是一组工具和服务，使应用程序能够通过各种渠道（如推送通知、短信、电子邮件和应用内消息）向用户发送通知。它处理可靠有效地路由、格式化和传递消息的复杂性。该软件通常包括模板管理、用户偏好、交付跟踪和分析等功能，以优化通信和用户参与度。根据QYResearch最新调研报告显示，预计2031年全球通知基础设施软件市场规模将达到63.20亿美元，未来几年年复合增长率CAGR为8.3%。根据QYResearch头部企业研究中心调研，全球范围内通知基础设施软件生产商主要包括Twilio、Klaviyo等。2023年，全球前三大厂商占有大约72.0%的市场份额。目前，全球核心厂商主要分布在北美。就产品类型而言，目前平台标准服务是最主要的细分产品，占据大约61%的份额。就产品类型而言，目前大企业是最主要的需求来源，占据大约63.5%的份额。主要驱动因素: 1.云原生技术的普及：容器化（如Docker）、编排（如Kubernetes）等云原生技术的发展，使得应用程序的部署、扩展和管理更加便捷高效。通知基础设施需要能够很好地集成到云原生环境中，支持容器化的部署和

535体质测试数据分析及可视化设计_zip.zip: 提供的源码资源涵盖了Java应用等多个领域，每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写，确保了在对应环境下能够无缝运行。同时，源码中配备了详细的注释和文档，帮助用户快速理解代码结构和实现逻辑。适用人群：适合毕业设计、课程设计作业。这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生，还是对其他领域编程感兴趣的学生，这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码，你可以掌握各平台开发的基础知识，提升编程能力和项目实战经验。使用场景及目标：在学习阶段，你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码，你将深入了解各平台开发的技术细节和最佳实践，逐步培养起自己的项目开发和问题解决能力。此外，在求职或创业过程中，具备跨平台开发能力的大学生将更具竞争力。其他说明：为了确保源码资源的可运行性和易用性，特别注意了以下几点：首先，每份源码都提供了详细的运行环境和依赖说明，确保用户能够轻松搭建起开发环境；其次，源码中的注释和文档都非常完善，方便用户快速上手和理解代码；最后，我会定期更新这些源码资源，以适应各平台技术的最新发展和市场需求。所有源码均经过严格测试，可以直接运行，可以放心下载使用。有任何使用问题欢迎随时与博主沟通，第一时间进行解答！

适用火狐谷歌浏览器的开源插件 github更新，主要图文标识了谷歌浏览器去广告的方法: 适用火狐谷歌浏览器的开源插件 github更新，主要图文标识了谷歌浏览器去广告的方法

AVR单片机(独立式键盘实验)proteus仿真+配套源代码100%好用.zip: AVR单片机(独立式键盘实验)proteus仿真+配套源代码100%好用.zip

校车管理信息系统 2024免费JAVA毕设: 2024免费毕业设计成品，包括源码+数据库+往届论文资料，附带启动教程和安装包。启动教程：https://www.bilibili.com/video/BV1jKDjYrEz1 技术栈：Vue.js+SpringBoot+MySQL。开发工具：Idea+VSCode。

AVR单片机(8255实验)proteus仿真+配套源代码100%好用.zip: AVR单片机(8255实验)proteus仿真+配套源代码100%好用.zip

紫光FPGA以太网工程：实现上位机MATLAB端频谱图及时域图切换功能的多级系统开发经验分享,"紫光FPGA以太网工程实践：实现上位机Matlab端画图功能，频谱图与时域图无缝切换技术",紫光fpga: 紫光FPGA以太网工程：实现上位机MATLAB端频谱图及时域图切换功能的多级系统开发经验分享,"紫光FPGA以太网工程实践：实现上位机Matlab端画图功能，频谱图与时域图无缝切换技术",紫光fpga以太网工程并实现上位机matlab端画图，频谱图时域图切 ,紫光FPGA; 以太网工程; 上位机Matlab端画图; 频谱图时域图切换,"紫光FPGA以太网工程: 实时数据采集、Matlab端上位机实现时频图切换"

NOIP2014提高组初赛C++试题.pdf: NOIP2014提高组初赛C++试题

【104页超详细】DeepSeek从入门到精通: 【104页超详细】DeepSeek从入门到精通

AVR单片机(并转串实验)proteus仿真+配套源代码100%好用.zip: AVR单片机(并转串实验)proteus仿真+配套源代码100%好用.zip

springboot318基于HTML语言的环保网站的设计与实现_rar.zip: 提供的源码资源涵盖了Java应用等多个领域，每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写，确保了在对应环境下能够无缝运行。同时，源码中配备了详细的注释和文档，帮助用户快速理解代码结构和实现逻辑。适用人群：适合毕业设计、课程设计作业。这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生，还是对其他领域编程感兴趣的学生，这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码，你可以掌握各平台开发的基础知识，提升编程能力和项目实战经验。使用场景及目标：在学习阶段，你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码，你将深入了解各平台开发的技术细节和最佳实践，逐步培养起自己的项目开发和问题解决能力。此外，在求职或创业过程中，具备跨平台开发能力的大学生将更具竞争力。其他说明：为了确保源码资源的可运行性和易用性，特别注意了以下几点：首先，每份源码都提供了详细的运行环境和依赖说明，确保用户能够轻松搭建起开发环境；其次，源码中的注释和文档都非常完善，方便用户快速上手和理解代码；最后，我会定期更新这些源码资源，以适应各平台技术的最新发展和市场需求。所有源码均经过严格测试，可以直接运行，可以放心下载使用。有任何使用问题欢迎随时与博主沟通，第一时间进行解答！

MUC-大学物理章节测试答案-第八章恒定电流毕奥-萨法尔定律: MUC_大学物理章节测试答案_第八章恒定电流毕奥-萨法尔定律

ASTM A53-A53M-24 Standard Specification for Pipe, Steel, Black: ASTM A53-A53M-24 Standard Specification for Pipe, Steel, Black and Hot-Dipped, Zinc-Coated, Welded and Seamless.rar

#_ssm_003_mysql_电器网上订购系统_.zip: #_ssm_003_mysql_电器网上订购系统_

中国企业数据资产入表情况跟踪报告2024上半年.pdf: 中国企业数据资产入表情况跟踪报告2024上半年

Python 实现CNN-LSTM-Attention模型进行多变量时间序列预测（含完整的程序，GUI设计和代码详解）: 内容概要：本文详细介绍了基于深度学习的CNN-LSTM-Attention多变量时间序列预测模型的设计与实现。首先，背景部分阐述了时间序列预测的重要性及其面临的挑战，特别是多维度和长时间依赖的关系。接下来，论文详述了该模型的技术细节和实现步骤，包括数据预处理、模型构建（结合CNN、LSTM和Attention）、超参数优化及防止过拟合措施，并强调了模型的多变量处理能力及其实时预测的特点。文中通过完整的Python代码展示了各个功能模块的具体实现方式，最后探讨了如何将其部署在实际系统中以及未来的改进方向。适合人群：熟悉机器学习基本概念的研究人员和技术开发人员，尤其适用于希望深入理解时间序列预测并将其应用于多个领域的从业者。使用场景及目标：该项目非常适合用于金融、能源、医疗等行业中需要精确预测未来趋势的场合。其目标在于提升时间序列预测的准确性和鲁棒性，特别是在面对复杂、非线性的多变量情境下。其他说明：文章不仅提供了详细的理论分析和技术方案，还给出了可视化的图形界面，便于非专业技术人员理解和操作，有助于加快研究成果向实际应用转化的速度。此外，作者也提到了一些潜在的应用拓展和技术发展方向。

#_ssm_065_mysql_高校学生请假管理系统_.zip: #_ssm_065_mysql_高校学生请假管理系统_

blender-4.3.2-windows-x64.msi: blender-4.3.2-windows-x64.msi

#_ssm_108_mysql_在线订花系统_.zip: #_ssm_108_mysql_在线订花系统_

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论