Меню

Укр Рус

Virus.Induc.Win32.1

Виды вредоносных программ:
Virus.Induc.Win32.1

Virus. Induc.Win32.1– концептуальный вирус, заражающий приложения на Delphi на стадии компиляции программы.

Методы распространения  

Данный вирус является концептуальным, так как  использует методику размножения, сильно отличающуюся от обычных файловых вирусов. Он рраспространяется, заражая приложения Delphi на стадии компиляции программы. распространению вируса способствовало то, что он больше года оставался неизвестным и заразил много популярных программ написанных на Delphi - таких как QIP, AIMP и т.п.

Технические особенности

При запуске зараженной программы, вирус ищет на компьютере установленные версии среды разработки приложений Delphi. Для этого проверяется наличие ключа реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\]

Вирус инфицирует версии Delphi 4.0, 5.0, 6.0, 7.0.

Если вирус обнаруживает, что Delphi установлен, он делает копию файла <%DELPHI_RootDir%>\lib\SysConst.dcu, сохраняя его под именем <%DELPHI_RootDir%>\lib\SysConst.bak. Вирус копирует файл SysConst.pas из каталога  <%DELPHI_RootDir%>\source\rtl\sys в каталог <%DELPHI_RootDir%>\lib, открывает файл SysConst.pas дописывает в секцию implementation свой код и компилирует его в файл SysConst.dcu, при помощи компилятора Delphi dcc32.exe. В результате этого получается новый файл SysConst.dcu, который содержит вирусный код. Зараженный SysConst.pas больше не используется, и вирус его удаляет.

SysConst – это файл базовых констант Delphi, автоматически добавляемый в секцию initialization  при компиляции программы. Код, расположенный в  секции initialization, автоматически выполняется перед запуском любого другого кода модуля.
Таким образом,  любая программа на Delphi, которая будет скомпилирована на этом компьютере, будет заражена.

Тело вируса в скомпилированной программе может располагаться в произвольном месте – в зависимости от программы и от того куда ее поместил компилятор.

Деструктивные возможности

Кроме инфицирования программ написанных на Delphi вирус не содержит вредоносных функций. Но из-за ошибок в коде вируса может вызывать ошибку Run-Time Error 3 (в случае если остался ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\)  но сам Delphi уже был удалён или установлена более новая версия.

рекомендации по удалению

Если вы используете Delphi 4 – 7, то необходимо проверить, не инфицированы ли они. Проверьте  папку <%DELPHI_RootDir%\lib\> , если там присутствует файл SysConst.bak, откройте SysConst.dcu, и поищите в нём строчку closefile(f2); , если строка найдена, то ваш Delphi заражен.

Для лечения требуется удалить файл SysConst.dcu, и скопировать на его место SysConst.bak (SysConst.bak –> SysConst.dcu).