卡巴斯基截获专门感染Delphi所编译程序的病毒

  • 时间:
  • 浏览:0
CNET科技资讯网时间

4009-08-27作者来源: CNET科技资讯网

本文关键词:卡巴斯基

卡巴斯基实验室否认近期检测到两种 名为Virus.Win32.Induc.a的病毒,该病毒会通过CodeGear Delphi的集成软件开发环境系统进行传播。目前,卡巴斯基实验室的所有产品将会具备查杀该病毒的能力。

Virus.Win32.Induc.a 病毒利用了 Delphi 开发环境创建可执行文件时所采用的二步过程机制。首先,源代码被编译成底下 .dcu文件(Delphi已编译单元文件),因此哪些底下 .dcu文件会被关联用于创建最终的Windows 可执行文件。

新发现的这种病毒会在被感染系统进程时被激活。激活后,病毒会检查计算机上与非 安装了Delphi开发环境系统,检查的版本包括4.0, 5.0, 6.0 以及 7.0 。一旦发现安装了Delphi,Virus.Win32.Induc.a 病毒会对Delphi源文件Sysconst.pas进行编译,生成三个 修改过的名为Sysconst.dcu的编译文件。

几乎所有的 Delphi 项目都含高“use SysConst”这种行代码,这愿因分析即使病毒只感染三个 系统模块,最终也将愿因开发环境中所有的系统进程被感染。换句话说,被修改的SysConst.dcu 文件会愿因所有在已被感染的环境下开发的子系统进程含高高病毒代码,而被修改的 .pas文件则会被删除,将会它将会这样 任何用途。

目前,Virus.Win32.Induc.a 病毒似乎还不构成威胁,尽管其具有传染性,但并未表现出有些恶意攻击行为(payload)。很将会,此病毒却说 用来演示和测试这种新的病毒感染措施。其实此病毒无须具备毁灭性的攻击行为(payload),但它将会感染个多个版本的常见即时通讯客户端QIP,加上上其通过软件开发系统进程所使用的 .dcu文件进行感染的非同寻常的感染措施,使得此病毒已在全球广泛传播。亲戚亲戚亲们预测,网络罪犯很将会会在将来重拾此病毒,并将其改进,使其具有更强的破坏性。

卡巴斯基实验室的所有产品将会可不都还可不可以成功查杀Virus.Win32.Induc.a 病毒,其中包括已编译的Delphi文件以及Windows可执行文件。