近日论坛上都在讨论Win32.Induc.a病毒,专门感染由Delphi创建的应用程序。颇为好奇,于是特别关注了一下。
这个病毒很特别,特别在他不是直接感染exe文件,而是直接攻击开发工具本身,将一段恶意代码插入进Delphi的SysConst.dcu文件中,使得开发人员本身就变成了病毒的传播者。不过还好,这个病毒没有破坏性,纯粹只是一个恶作剧罢了。
从网上找来了一新病毒的资料,该病毒会将Delphi原本的SysConst.dcu文件复制一份为SysConst.bak,然后将一段恶意代码插入到SysConst.dcu中,而SysConst基本上是所有Delphi程序都会引用到的单元。程序员在生成exe文件的时候,自然会将这段恶意代码给发布出来了。
如果你系统中的SysConst.dcu为17K左右,那么你就中毒了,正常的SysConst.dcu不会超过12K的,不过将SysConst.bak复制一份回来就行了。但别把SysConst.bak文件删了,因为该病毒会称检查你的系统中是否有SysConst.bak文件,如果没有,才会进行感染。当然,预防这个病毒也有一个办法,就是自己建立一个备份一个干净的SysConst.bak文件咯。
检查了一下自己的系统,还好没有被感染,赶快建立预防措施吧,据说有好多软件都是已经带毒的了。