Win32.Induc 系列病毒，Delphi程序员的梦魇！

======================================================
注：本文源代码点此下载
======================================================

金山云安全中心近日在国内率先截获了一个针对计算机程序员、尤其是delphi使用者的病毒“delphi梦魇”(win32.induc.b.820224 ),简单描述该毒行为,就是:它专门感染delphi程序员的电脑,一旦成功,程序员今后写出的任何程序,都将带有该毒!

噩梦的成长过程

当随着被感染文件进入电脑系统,“delphi梦魇”就开始检验系统中是否有delphi环境。它通过循环检测注册表键值的方法查找dephi的安装目录,如果找到dephi这个冤大头,就将恶意代码前排插入sysconst.pas文件,这个文件编译的时候,会生成sysconst.dcu,而这个文件会被添加到每个新的dephi工程中。

于是,程序员们所编写的程序就全部带毒了,一个个隐秘的“病毒兵工厂”就这样诞生,

更可怕的是,通过对受感染文件的分析,金山毒霸反病毒工程师发现,该毒在全球网络中已经传播了多月,目前已知受感染最早的系统,在2008年的年末就已中招。

而根据金山毒霸云安全系统的监测,目前已有多家知名软件厂商的产品感染了该毒,所影响的用户数量庞大,甚至难以在短时间内统计得出。

不幸中的万幸

虽然已有大量的delphi程序员和软件产品中招,但通过对“delphi梦魇”(win32.induc.b.820224 )代码的分析,金山毒霸反病毒工程师发现,该毒作者的用意似乎并不在破坏,只是静默地实现感染,不断传播代码的主体。病毒就这样不断传播,直到遍及全球所有基于delphi环境的电脑,而对没有安装delphi相关软件的普通电脑,则是完全无效。我们尚不清楚作者是在怎样的条件下编写出该毒的,但如果他是醉心于纯技术研究的人,那么该毒的大面积感染一定会是个能让他觉得十分有成就感的过程。

国内无良黑客的兴奋剂

虽说病毒原作者看上去没啥坏心,但是金山毒霸反病毒工程师很担心,在国内广大唯利是图的黑客(病毒作者)眼中,这无疑是一份大大的馅饼。自三月份刑法新条例出台、政府部门对病毒木马编写以及黑客行为加大打击后,不法黑客的生意越来越难做,突然出现这种有助降低犯罪技术门槛的安全事件,他们绝不会愿意放过。目前,“delphi梦魇”(win32.induc.b.820224 )的源代码已经在网络中完全公布流传,金山毒霸反病毒工程师认为,无法排除国内病毒作者对其进行改造、进化的可能。如果他们对该毒加入下载木马、盗号等恶意行为指令,很难说会diy出怎样的猛毒。

安全方案

值得庆幸的是,金山毒霸已经出台了针对“delphi梦魇”(win32.induc.b.820224 )的解决方案,金山毒霸能彻底防御和查杀该病毒!

用户只需使用金山毒霸2009并升级到最新版本,然后全盘扫描,即可彻底清除该毒和修复被它感染的delphi程序。而更详尽彻底的解决方案,请大家留意金山毒霸随后即将放出的“delphi梦魇”专杀工具。

另外,对习惯手动解决问题的delphi程序员,我们需要提醒一下,这个病毒具有二次感染能力,也就是说原来你编译出来的所有delphi程序都可以再次感染你机器上的delphi库文件,如果使用自己编写的查杀工具,请一定要检查你所写出的工具是否也含毒,否则将陷入一个死循环。

金山毒霸反病毒工程师建议,要彻底清除该病毒,需做到以下几点:

1、使用杀软扫描所有的delphi编写的可执行文件并清除病毒。(或直接删除所有delphi编写的可执行文件,包括从网上下载的)

2、将文件 %delphiinstallpath%\lib\sysconst.dcu 删掉,然后执行步骤4 或 步骤5和6。

3、将文件 %delphiinstallpath%\lib\sysconst.bak 改名为 sysconst.dcu,结束。

4、调用 dcc32.exe 编译出新的 sysconst.dcu ,编译命令如下: %delphiinstallpath%\bin\dcc32.exe “%delphiinstallpath%\\source\rtl\sys\sysconst.pas”

5、将新编译的sysconst.dcu(在%delphiinstallpath%\\source\rtl\sys\目录下)文件复制到 %delphiinstallpath%\lib\ 目录,结束。

6、使用金山毒霸2009并升级到最新版本全盘扫描清除已经被感染的delphi程序 。

附,delphi梦魇分析报告(win32.induc.b.820224、win32.induc.a.820224)

一、文件信息

文件大小:163840字节

加壳类型:aspack 2.12

编写语言:borland delphi 6.0

病毒类型:感染型

二、病毒描述

该样本为delphi感染型病毒,通过感染delphi库文件中的sysconst.dcu文件,使用户在使用被感染的库文件编程后,生成的文件均被感染。

病毒行为

病毒在第n次处理初始化表时(call startexe)进行操作,即完成在程序加载正常delphi文件前执行病毒代码。(数字n根据被感染用户的delphi版本不同有所不同)。

循环检测注册表键值hklm\software\borland\delphi\ x.0 判断当前机器是否安装delphi。检测版本(4.05.06.07.0)。如本机未安装则直接跳出病毒代码进行正常的初始化工作,不进行感染。

如安装了delphi则通过访问注册表得到用户的delphi安装路径。

根据用户安装路径将源文件夹中的sysconst.pas和库文件夹中的sysconst.dcu备份

即%%\source\rtl\sys\sysconst.pas与%%\lib\sysconst.dcu。

将delphi源码代码写入源文件sysconst.pas中

调用%%bin\dcc32.exe 将感染后的源码文件sysconst.pas 生成本地库文件放入\lib替换sysconst.dcu文件。

将正常sysconst.pas备份恢复,删除源码中感染的文件。

更改库文件中被替换后的sysconst.dcu文件时间,使其与其他文件一致。

病毒危害程度

该病毒实际上并不具有危害性,只是其更改了库文件后使编译生成的所有程序均带有不正常代码,而其代码行为即为以上描述,但对其变种可能出现的行为无法预估,该病毒改造难度较低,很容易被恶意利用。

因为其将delphi库文件修改使其使用delphi语言编译后的文件均被感染,所以被感染文件大小不一,加壳情况也各异,本分析样本只是从中随机挑选,样本大小与加壳类型都不具有代表性。

======================================================
在最后，我邀请大家参加新浪APP，就是新浪免费送大家的一个空间，支持PHP+MySql，免费二级域名，免费域名绑定 这个是我邀请的地址，您通过这个链接注册即为我的好友，并获赠云豆500个，价值5元哦！短网址是http://t.cn/SXOiLh我创建的小站每天访客已经达到2000+了，每天挂广告赚50+元哦，呵呵，饭钱不愁了，\(^o^)/