Loading ...
А название его Virus.Win32.Induc.a
Кратко, как он работает:
Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.
Новый вирус активизируется при запуске заражённого им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.
Проблема заключается в том, что ативирусные системы определяют и лечат уже зараженные файлы, в принципе, как и должно быть; но не лечат причину заражения. Я несколько раз безрезультатно пробегался разными антивирусами по файлу Sysconst.dcu, и ни одна сволочь не заикнулась, даже ничего не заподозрила. Наверное, все же лечить причину стратегически не выгодно.
Я посмотрел на размеры файлов до заражения и после, оказалось, что чистенький файл Sysconst.pas весит 10’579 байт, а зараженный – 17’113. Но так как этот видус внедряется в файл *.dcu, то кроме как на размер файла, вирус не ориентируется. Поэтому легко исправить ситуацию, просто дописав пробелы в конец файла Sysconst.dcu, тем самым подогнав размер до 17’113 байт. Файл остается чистым, а вирус думает, что главный модуль распространения уже заражен и повторно его не трогает. Чистый файл естественно, можно взять в установочном дистрибутиве Delphi.
Я сутки потратил на лечение компьютера, блин. Но зато, добился результата =)
Теперь можно пойти на балкон и спокойно покурить, смотря на капающий вечерний дождь =)))))))))))
Понравилась статья? Подпишитесь на RSS .
2009-2012 Блог Андрея Сорвина
[Ответить на комментарий]
[Ответить на комментарий]
Картина Репина: компилирую один из проектов, и тут же антивирус мне заявляет, что в только что созданном экзешнике найден вирус. Я аж на спинку стула откинулся… После этого я стал искать причину ))
А забавный такой вирусочек, необычный )) Безвредный, правда)
[Ответить на комментарий]
а заразил меня ёбаный qip
[Ответить на комментарий]
@aDolphin, ахахаха)))) QIP!
[Ответить на комментарий]
@Dandr, ну если ты не знал, то квип на делфи написан
[Ответить на комментарий]
[Ответить на комментарий]
Сейчас скачал свежий, всё нормально.
[Ответить на комментарий]
[Ответить на комментарий]
[Ответить на комментарий]
[Ответить на комментарий]
Мы про старый квип говорим? ))
[Ответить на комментарий]
[Ответить на комментарий]
[Ответить на комментарий]
[Ответить на комментарий]
[Ответить на комментарий]
[Ответить на комментарий]
А что это вирус делает? Как себя проявляет?
Достали уже эти вирусы! Сама неделю назад от кидо едва избавилась.
[Ответить на комментарий]
А вот я так понимаю плагины: [ссылка]
[Ответить на комментарий]
[Ответить на комментарий]
[Ответить на комментарий]
[Ответить на комментарий]