关于sysconst病毒的一点分析

本帖最后由 gyk120 于 2009-08-28 11:53:43 编辑

解决方案 »

免费领取超大流量手机卡，每月29元包185G流量+100分钟通话, 中国电信官方发货

总体上来说，这个病毒恶作剧的行为较多，据说是毛子写的病毒，只是为了提醒编译器方面存在的漏洞，所以没有加破坏性代码进去，这个病毒并没有太大危害性，仅仅是DCU编译出感染过的EXE，EXE感染DCU而已，值得一提的是为了避免被发现，还同步了时间戳，毛子的用心良苦啊
Delphi/C++Builder后续版本中，安装信息在注册表中仍可查询，只不过键值从Borland换成了CodeGear，所以这个恶意程序不感染后者。不过很显然，把这个恶意代码略修改一下就可以了通吃了。
安装目录键值（RootDir)：
C++Builder X.0
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\C++Builder\X.0Delphi X.0
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\X.02009(6.0)/2010(7.0)：
HKEY_LOCAL_MACHINE\SOFTWARE\CodeGear\BDS\X.0\2006和2007的安装目录键值应该也和2009/2010类似。
这个我还真没有注意到，因为我没有Delphi2000+的版本，所以也无从证实，这一段是我从网上摘抄来的，看来有错误了，谢谢妖哥提醒
本来delphi的行情就不好了，还这么来一下
半桶水的客户就更加要排斥delphi了。
把lib文件夹改为只读，应该可以避免被感染把
这里好多牛人啊！佩服！这个病毒让我所有的exe文件都被删了，我杀毒，改sysconst.dcu，然后全部重新编译。搞了很久才搞好。
关于这个病毒
请看国外的专人分析：
http://www.felix-colibri.com/papers/delphi/delphi_induc_a_virus_anatomy/delphi_induc_a_virus_anatomy.html
The Delphi INDUC A virus Anatomy - Felix John COLIBRI.
http://www.felix-colibri.com/papers/delphi/delphi_induc_a_virus_anatomy/delphi_induc_a_virus_anatomy.html
就这篇帖子而言，懂一点PE结构知识就行了，汇编最好掌握一点，编译原理其实不大需要，只需要知道sysconst会被引用到每个工程当中就行了
顶、
http://www.xinkeor.cn/?11604-1.html
这个看起来像是恶作剧。别的不感染非要去感染库，Delphi程序员独享之病毒。
再海阔天空胡思乱想一下，可以直接去感染编译器，生成代码的时候自动插入病毒代码，这样神不知鬼不觉，所有的exe都是带毒的嘿嘿
想避免再次感染其实也很简单，把好的pas文件放在编译路径最顶层就好了，只是简单设置一下编译路径，病毒感染的那个文件也不会编译进来，病毒不攻自破
这个病毒来的太突然了，怪不得前几天运行delphi程序卡巴就会报毒，删除了之后就出问题了。后来不得不把系统还原了，之后还是报毒。没办法就暂时没用了，今天网上一查，果然有好多人中此毒！哎.
    个人的观点是：无论是利用delphi编的病毒还是黑了delphi使我们这些菜鸟的程序变成病毒，只会让我感觉delphi的魅力越来越大。任何的程序或者工具都会有漏洞，linux的成长过程也是啊。关注的人多了，爱好的人多了，这样的程序或者工具才会得到发展。呵呵~个人还是个菜鸟，也知道delphi易学难精的道理。但是就抱着想把它学精的态度去专研。期间肯定少不了各位高手的指点，学好了我也希望可以像楼主一样潇洒的这样发表自己的看法。
    观摩、学习~
中招中，Windows7 +delphi7 中毒以后我用原来的恢复了以后，只要编译，马上又中毒，不管你的bak文件是否存在，现在迷茫中不知道如何解决。