Delphi夢魘

基本描述

金山雲安全中心近日在國內率先截獲了一個針對計算機程序員、尤其是Delphi使用者的病毒“Delphi夢魘”（Win32.Induc.b.820224）。

當隨着被感染文件進入電腦系統，“Delphi夢魘”就開始檢驗系統中是否有Delphi環境。它通過循環檢測註冊表鍵值的方法查找dephi的安裝目錄，如果找到dephi這個冤大頭，就將惡意代碼前排插入SysConst.pas文件，這個文件編譯的時候，會生成SysConst.dcu，而這個文件會被添加到每個新的dephi工程中。

於是，程序員們所編寫的程序就全部帶毒了，一個個隱秘的“病毒兵工廠”就這樣誕生，

更可怕的是，通過對受感染文件的分析，金山毒霸反病毒工程師發現，該毒在全球網絡中已經傳播了多月，目前已知受感染最早的系統，在2008年的年末就已中招。

而根據金山毒霸雲安全系統的監測，目前已有多家知名軟件廠商的產品感染了該毒，所影響的用户數量龐大，甚至難以在短時間內統計得出。

　不幸中的萬幸

雖然已有大量的Delphi程序員和軟件產品中招，但通過對“Delphi夢魘”（Win32.Induc.b.820224）代碼的分析，金山毒霸反病毒工程師發現，該毒作者的用意似乎並不在破壞，只是靜默地實現感染，不斷傳播代碼的主體。病毒就這樣不斷傳播，直到遍及全球所有基於Delphi環境的電腦，而對沒有安裝Delphi相關軟件的普通電腦，則是完全無效。我們尚不清楚作者是在怎樣的條件下編寫出該毒的，但如果他是醉心於純技術研究的人，那麼該毒的大面積感染一定會是個能讓他覺得十分有成就感的過程。

雖説病毒原作者看上去沒啥壞心，但是金山毒霸反病毒工程師很擔心，在國內廣大唯利是圖的黑客（病毒作者）眼中，這無疑是一份大大的餡餅。自三月份刑法新條例出台、政府部門對病毒木馬編寫以及黑客行為加大打擊後，不法黑客的生意越來越難做，突然出現這種有助降低犯罪技術門檻的安全事件，他們絕不會願意放過。目前，“Delphi夢魘”（Win32.Induc.b.820224）的源代碼已經在網絡中完全公佈流傳，金山毒霸反病毒工程師認為，無法排除國內病毒作者對其進行改造、進化的可能。如果他們對該毒加入下載木馬、盜號等惡意行為指令，很難説會DIY出怎樣的猛毒。

值得慶幸的是，金山毒霸已經出台了針對“Delphi夢魘”（Win32.Induc.b.820224）的解決方案，用户只需使用金山毒霸2009並升級到最新版本，然後全盤掃描，即可清除該毒和已被它感染的delphi程序。而更詳盡徹底的解決方案，請大家留意金山毒霸隨後即將放出的“Delphi夢魘”專殺工具。

另外，對習慣手動解決問題的Delphi程序員，我們需要提醒一下，這個病毒具有二次感染能力，也就是説原來你編譯出來的所有Delphi程序都可以再次感染你機器上的Delphi庫文件，如果使用自己編寫的查殺工具，請一定要檢查你所寫出的工具是否也含毒，否則將陷入一個死循環。

1、使用殺軟掃描所有的Delphi編寫的可執行文件並清除病毒。（或直接刪除所有Delphi編寫的可執行文件，包括從網上下載的）

2、將文件%DelphiInstallPath%\Lib\SysConst.dcu刪掉，然後執行步驟4或步驟5和6。

3、將文件%DelphiInstallPath%\Lib\SysConst.bak改名為SysConst.dcu，結束。

4、調用DCC32.exe編譯出新的SysConst.dcu，編譯命令如下：%DelphiInstallPath%\bin\DCC32.exe”%DelphiInstallPath%\\Source\Rtl\Sys\SysConst.pas”

5、將新編譯的SysConst.dcu（在%DelphiInstallPath%\\Source\Rtl\Sys\目錄下）文件複製到%DelphiInstallPath%\Lib\目錄，結束。

6、使用金山毒霸2009並升級到最新版本全盤掃描清除已經被感染的delphi程序。