关于sysconst病毒的一点分析 本帖最后由 gyk120 于 2009-08-28 11:53:43 编辑 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 总体上来说,这个病毒恶作剧的行为较多,据说是毛子写的病毒,只是为了提醒编译器方面存在的漏洞,所以没有加破坏性代码进去,这个病毒并没有太大危害性,仅仅是DCU编译出感染过的EXE,EXE感染DCU而已,值得一提的是为了避免被发现,还同步了时间戳,毛子的用心良苦啊 Delphi/C++Builder后续版本中,安装信息在注册表中仍可查询,只不过键值从Borland换成了CodeGear,所以这个恶意程序不感染后者。不过很显然,把这个恶意代码略修改一下就可以了通吃了。 安装目录键值(RootDir):C++Builder X.0HKEY_LOCAL_MACHINE\SOFTWARE\Borland\C++Builder\X.0Delphi X.0HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\X.02009(6.0)/2010(7.0):HKEY_LOCAL_MACHINE\SOFTWARE\CodeGear\BDS\X.0\2006和2007的安装目录键值应该也和2009/2010类似。 这个我还真没有注意到,因为我没有Delphi2000+的版本,所以也无从证实,这一段是我从网上摘抄来的,看来有错误了,谢谢妖哥提醒 本来delphi的行情就不好了,还这么来一下半桶水的客户就更加要排斥delphi了。 把lib文件夹改为只读,应该可以避免被感染把 这里好多牛人啊!佩服!这个病毒让我所有的exe文件都被删了,我杀毒,改sysconst.dcu,然后全部重新编译。搞了很久才搞好。 关于这个病毒请看国外的专人分析:http://www.felix-colibri.com/papers/delphi/delphi_induc_a_virus_anatomy/delphi_induc_a_virus_anatomy.html The Delphi INDUC A virus Anatomy - Felix John COLIBRI.http://www.felix-colibri.com/papers/delphi/delphi_induc_a_virus_anatomy/delphi_induc_a_virus_anatomy.html 就这篇帖子而言,懂一点PE结构知识就行了,汇编最好掌握一点,编译原理其实不大需要,只需要知道sysconst会被引用到每个工程当中就行了 顶、 http://www.xinkeor.cn/?11604-1.html 这个看起来像是恶作剧。别的不感染非要去感染库,Delphi程序员独享之病毒。 再海阔天空胡思乱想一下,可以直接去感染编译器,生成代码的时候自动插入病毒代码,这样神不知鬼不觉,所有的exe都是带毒的嘿嘿 想避免再次感染其实也很简单,把好的pas文件放在编译路径最顶层就好了,只是简单设置一下编译路径,病毒感染的那个文件也不会编译进来,病毒不攻自破 这个病毒来的太突然了,怪不得前几天运行delphi程序卡巴就会报毒,删除了之后就出问题了。后来不得不把系统还原了,之后还是报毒。没办法就暂时没用了,今天网上一查,果然有好多人中此毒!哎. 个人的观点是:无论是利用delphi编的病毒还是黑了delphi使我们这些菜鸟的程序变成病毒,只会让我感觉delphi的魅力越来越大。任何的程序或者工具都会有漏洞,linux的成长过程也是啊。关注的人多了,爱好的人多了,这样的程序或者工具才会得到发展。呵呵~个人还是个菜鸟,也知道delphi易学难精的道理。但是就抱着想把它学精的态度去专研。期间肯定少不了各位高手的指点,学好了我也希望可以像楼主一样潇洒的这样发表自己的看法。 观摩、学习~ 中招中,Windows7 +delphi7 中毒以后我用原来的恢复了以后,只要编译,马上又中毒,不管你的bak文件是否存在,现在迷茫中不知道如何解决。 delphi不调用excel导入xls到Grid 更改了数据库1433端口,ado就找不到目标服务器 子窗体无法创建的问题 如何实现outlook风格的界面设计?? 怎么把一个ClientDataSet赋值给另一个ClientDataSet 关于StringGrid所对应的表的数据定位问题 钩子和汉字的问题,我记得以前有人回答过的! 如何获得所有程序的窗体名称? 如何动态调用控件 我如何才能在timage上再画上一个位图呢?我用imageA.canvas,draw(1,1,imageB)不行啊 各位大能,Cxgrid回车跳转问题 如何检测某些软件已安装并测试
C++Builder X.0
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\C++Builder\X.0Delphi X.0
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\X.02009(6.0)/2010(7.0):
HKEY_LOCAL_MACHINE\SOFTWARE\CodeGear\BDS\X.0\2006和2007的安装目录键值应该也和2009/2010类似。
半桶水的客户就更加要排斥delphi了。
请看国外的专人分析:
http://www.felix-colibri.com/papers/delphi/delphi_induc_a_virus_anatomy/delphi_induc_a_virus_anatomy.html
http://www.felix-colibri.com/papers/delphi/delphi_induc_a_virus_anatomy/delphi_induc_a_virus_anatomy.html
http://www.xinkeor.cn/?11604-1.html
观摩、学习~