金山云安全中心近日在国内率先截获了一个针对计算机程序员尤其是Delphi使用者的病毒Delphi梦魇(Win32.Induc.b.820224)简单描述该毒行为就是它专门感染Delphi程序员的电脑一旦成功程序员今后写出的任何程序都将带有该毒
噩梦的成长过程
当随着被感染文件进入电脑系统Delphi梦魇就开始检验系统中是否有Delphi环境它通过循环检测注册表键值的方法查找dephi的安装目录如果找到dephi这个冤大头就将恶意代码前排插入SysConst.pas文件这个文件编译的时候会生成SysConst.dcu而这个文件会被添加到每个新的dephi工程中
于是程序员们所编写的程序就全部带毒了一个个隐秘的病毒兵工厂就这样诞生
更可怕的是通过对受感染文件的分析金山毒霸反病毒工程师发现该毒在全球网络中已经传播了多月目前已知受感染最早的系统在2008年的年末就已中招
而根据金山毒霸云安全系统的监测目前已有多家知名软件厂商的产品感染了该毒所影响的用户数量庞大甚至难以在短时间内统计得出
不幸中的万幸
虽然已有大量的Delphi程序员和软件产品中招但通过对Delphi梦魇(Win32.Induc.b.820224)代码的分析金山毒霸反病毒工程师发现该毒作者的用意似乎并不在破坏只是静默地实现感染不断传播代码的主体病毒就这样不断传播直到遍及全球所有基于Delphi环境的电脑而对没有安装Delphi相关软件的普通电脑则是完全无效我们尚不清楚作者是在怎样的条件下编写出该毒的但如果他是醉心于纯技术研究的人那么该毒的大面积感染一定会是个能让他觉得十分有成就感的过程
国内无良黑客的兴奋剂
虽说病毒原作者看上去没啥坏心但是金山毒霸反病毒工程师很担心在国内广大唯利是图的黑客(病毒作者)眼中这无疑是一份大大的馅饼自三月份刑法新条例出台政府部门对病毒木马编写以及黑客行为加大打击后不法黑客的生意越来越难做突然出现这种有助降低犯罪技术门槛的安全事件他们绝不会愿意放过目前Delphi梦魇(Win32.Induc.b.820224)的源代码已经在网络中完全公布流传金山毒霸反病毒工程师认为无法排除国内病毒作者对其进行改造进化的可能如果他们对该毒加入下载木马盗号等恶意行为指令很难说会DIY出怎样的猛毒
安全方案
值得庆幸的是金山毒霸已经出台了针对Delphi梦魇(Win32.Induc.b.820224)的解决方案用户只需使用金山毒霸2009并升级到最新版本然后全盘扫描即可清除该毒和已被它感染的delphi程序而更详尽彻底的解决方案请大家留意金山毒霸随后即将放出的Delphi梦魇专杀工具
另外对习惯手动解决问题的Delphi程序员我们需要提醒一下这个病毒具有二次感染能力也就是说原来你编译出来的所有Delphi程序都可以再次感染你机器上的Delphi库文件如果使用自己编写的查杀工具请一定要检查你所写出的工具是否也含毒否则将陷入一个死循环
金山毒霸反病毒工程师建议要彻底清除该病毒需做到以下几点
1使用杀软扫描所有的Delphi编写的可执行文件并清除病毒(或直接删除所有Delphi编写的可执行文件包括从网上下载的)
2将文件%DelphiInstallPath%\Lib\SysConst.dcu删掉然后执行步骤4或步骤5和6
3将文件%DelphiInstallPath%\Lib\SysConst.bak改名为SysConst.dcu结束
4调用DCC32.exe编译出新的SysConst.dcu编译命令如下%DelphiInstallPath%\bin\DCC32.exe%DelphiInstallPath%\\Source\Rtl\Sys\SysConst.pas
5将新编译的SysConst.dcu(在%DelphiInstallPath%\\Source\Rtl\Sys\目录下)文件复制到%DelphiInstallPath%\Lib\目录结束
6使用金山毒霸2009并升级到最新版本全盘扫描清除已经被感染的delphi程序
[评测] 轻松淘歌自由点唱 主流音乐盒软件横评 [评测] 5大浏览器测试:XP上性能超过Windows 7
[杀毒] 垃圾邮件别来烦 熊猫嵌入式防护显身手 [应用] 新学年新电脑 学生装机软件精选套餐
[业界] 微软Windows XP 即将成为不灭的传说? [分析] Windows 7操作系统优点与缺点深入分析
温馨提示:ZOL软件事业部编辑公共邮箱先已开通无论您有建议或投稿咨询均可发送邮件到zolsoft@staff.zol.com.cn编辑会认真阅读您的每一封来信并给予您满意的答复
