程序员的梦魇:Delphi新病毒戏耍软件工程师

  • 2
  • 1,549 views
  • A+
所属分类:[开发技巧]

 金山云安全中心近日在国内率先截获了一个针对计算机程序员、尤其是Delphi使用者的病毒“Delphi梦魇”(Win32.Induc.b.820224),简单描述该毒行为,就是:它专门感染Delphi程序员的电脑,一旦成功,程序员今后写出的任何程序,都将带有该毒!

  噩梦的成长过程

  当随着被感染文件进入电脑系统,“Delphi梦魇”就开始检验系统中是否有Delphi环境。它通过循环检测注册表键值的方法查找dephi的安装目录,如果找到dephi这个冤大头,就将恶意代码前排插入SysConst.pas文件,这个文件编译的时候,会生成SysConst.dcu,而这个文件会被添加到每个新的dephi工程中。

  于是,程序员们所编写的程序就全部带毒了,一个个隐秘的“病毒兵工厂”就这样诞生,

  更可怕的是,通过对受感染文件的分析,金山毒霸反病毒工程师发现,该毒在全球网络中已经传播了多月,目前已知受感染最早的系统,在2008年的年末就已中招。

  而根据金山毒霸云安全系统的监测,目前已有多家知名软件厂商的产品感染了该毒,所影响的用户数量庞大,甚至难以在短时间内统计得出。

 

不幸中的万幸

  虽然已有大量的Delphi程序员和软件产品中招,但通过对“Delphi梦魇”(Win32.Induc.b.820224)代码的分析,金山毒霸反病毒工程师发现,该毒作者的用意似乎并不在破坏,只是静默地实现感染,不断传播代码的主体。病毒就这样不断传播,直到遍及全球所有基于Delphi环境的电脑,而对没有安装Delphi相关软件的普通电脑,则是完全无效。我们尚不清楚作者是在怎样的条件下编写出该毒的,但如果他是醉心于纯技术研究的人,那么该毒的大面积感染一定会是个能让他觉得十分有成就感的过程。

 国内无良黑客的兴奋剂

  虽说病毒原作者看上去没啥坏心,但是金山毒霸反病毒工程师很担心,在国内广大唯利是图的黑客(病毒作者)眼中,这无疑是一份大大的馅饼。自三月份刑法新条例出台、政府部门对病毒木马编写以及黑客行为加大打击后,不法黑客的生意越来越难做,突然出现这种有助降低犯罪技术门槛的安全事件,他们绝不会愿意放过。目前,“Delphi梦魇”(Win32.Induc.b.820224)的源代码已经在网络中完全公布流传,金山毒霸反病毒工程师认为,无法排除国内病毒作者对其进行改造、进化的可能。如果他们对该毒加入下载木马、盗号等恶意行为指令,很难说会DIY出怎样的猛毒。

  安全方案

  值得庆幸的是,金山毒霸已经出台了针对“Delphi梦魇”(Win32.Induc.b.820224)的解决方案,用户只需使用金山毒霸2009并升级到最新版本,然后全盘扫描,即可清除该毒和已被它感染的delphi程序。而更详尽彻底的解决方案,请大家留意金山毒霸随后即将放出的“Delphi梦魇”专杀工具。

  另外,对习惯手动解决问题的Delphi程序员,我们需要提醒一下,这个病毒具有二次感染能力,也就是说原来你编译出来的所有Delphi程序都可以再次感染你机器上的Delphi库文件,如果使用自己编写的查杀工具,请一定要检查你所写出的工具是否也含毒,否则将陷入一个死循环。

  金山毒霸反病毒工程师建议,要彻底清除该病毒,需做到以下几点:

  1、使用杀软扫描所有的Delphi编写的可执行文件并清除病毒。(或直接删除所有Delphi编写的可执行文件,包括从网上下载的)

  2、将文件%DelphiInstallPath%\Lib\SysConst.dcu删掉,然后执行步骤4或步骤5和6。

  3、将文件%DelphiInstallPath%\Lib\SysConst.bak改名为SysConst.dcu,结束。

  4、调用DCC32.exe编译出新的SysConst.dcu,编译命令如下:%DelphiInstallPath%\bin\DCC32.exe”%DelphiInstallPath%\\Source\Rtl\Sys\SysConst.pas”

  5、将新编译的SysConst.dcu(在%DelphiInstallPath%\\Source\Rtl\Sys\目录下)文件复制到%DelphiInstallPath%\Lib\目录,结束。

  6、使用金山毒霸2009并升级到最新版本全盘扫描清除已经被感染的delphi程序。

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin
广告也精彩
avatar
广告也精彩

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:2   其中:访客  2   博主  0

    • avatar 网赚 0

      不错的文章!谢谢分享!

      • avatar whilechina 0

        最近总是有一个自称是美国什么公司的人打电话到我公司,说我公司盗用delphi,要到法院去告我们, 还发传真来什么其证书之类的文件, 我问其从哪里得知我公司有使用盗版的delphi, 其回答说是在网上扫描分析才知道的.
        我公司的人事部人员不堪其烦. 真是莫名其妙的事情. 我估计与该病毒有关.

        我就告诉那个自称是美国公司的人说, 我公司的所有电脑操作系统都是使用盗版的windows系统呢, microsoft都没打电话告诉我, 你算老几? 给你戴个汉奸的帽子不为过吧?

        在中国, 除了政府事业单位和少数几个大公司有能力使用正版的windows操作系统, 其它绝大不分的中小公司都是使用盗版的操作系统. 更何况是一些开发工具, 比如:VB, Delphi, PD, vc++6,等等开发工具.

        希望有更多人的delphi程序员能看到这个消息,同时希望那些有收到自称美国公司勒索版权费的电话的公司的不要上当受骗, 当你汇版权费给他, 谁也无法保证这是否是一场骗局.