知识库

标题:ESET NOD32 拦截到针对 Delphi 开发程序的病毒

病毒名称:Win32/Induc.A
别名:Virus.Win32.Induc.a (卡巴斯基), W32/Induc(麦克菲), Virus:Win32/Induc.A (Microsoft)
病毒类型:Virus(病毒) 
大小: 大约5 KB
影响平台:微软Windows操作系统 
可查杀病毒库版本:4346 (20090818)

简介:
Win32/Induc.A 是通过在感染机器中搜寻Delphi IDE 安装路径来实施感染,开发人员在使用Delphi开发工具编译可执行文件时,病毒自动感染所编译的文件。该病毒目前只有传播性,还没有发现其它危害,但是病毒本身极易产生变种在将来可能会有恶意行为。
 

该病毒针对下列文件进行拷贝(源文件,目的文件):
%delphi rootdir%LibSysConst.dcu, %delphi rootdir%LibSysConst.bak
%delphi rootdir%source tlsysSysConst.pas, %delphi rootdir%LibSysConst.pas
 

修改了下列文件:
%delphi rootdir%LibSysConst.pas
该病毒将自身源代码写入文件。
 

该病毒执行下列命令行:
"%delphi rootdir%Bindcc32.exe" "%delphi rootdir%LibSysConst.pas"
最终文件"%delphi rootdir%LibSysConst.dcu"包括了原始代码。
 

删除了下列文件:
%delphi rootdir%LibSysConst.pas
 

文件感染:
Win32/Induc.A是一个感染Delphi编译文件的病毒。
用Delphi语言编写的编译程序也会携带病毒代码。插入代码的大小为5KB。
其他信息
Delphi版本4.0、5.0、6.0、7.0 均已证实会受影响。
 

解决方法:
如果您遇到以上报警,请您通过%delphi rootdir%LibSysConst.dcu查看SysConst.Dcu这个文件的占用空间是否为17K,原文件应该是12K,而多出的5K正是此病毒插入的代码所致,请参考下面的方法解决,在操作完成前请不要运行任何该机器上delphi编译生成的文件:
1.请首先将%delphi rootdir%LibSysConst.Dcu 手动删掉。
2.然后将%delphi rootdir%LibSysConst.Bak改名为SysConst.Dcu,并且保留SysConst.Bak,或者建立名为SysConst.Bak的文件夹,并将SysConst.Dcu文件属性改为只读。
3.请升级ESET NOD32病毒库到最新版本,然后全盘扫描计算机将被此病毒感染的程序全盘隔离清除。
 

相关文章
该解决方案是否有帮到您?
如果您想让我们了解更多,或者您对上述解答有不同的看法,请填写您的意见,您的反馈将有助于提高我们的服务.如果您希望得到回复,请留下您的Email地址: