Модификация и рекомендации по удалению Virus.Win32.Induc.a

Milo

Самец :)
Время детектирования: 02 окт 2009 20:31 MSK
Время выпуска обновления: 03 окт 2009 03:04 MSK
Описание опубликовано: 09 окт 2009 11:38 MSK

Технические детали

Вредоносная программа, заражающая файл базовых констант "SysConst.pas" среды разработки программного обеспечения - Delphi. Является приложением Windows (PE-EXE файл). Размер варьируется в зависимости от создаваемого приложения, которое компилируется с включением зараженного модуля. Написана на Delphi.

Деструктивная активность

После запуска вредонос производит поиск каталога с установленной средой разработки - Delphi, читая значение параметра "RootDir" из ключа системного реестра:

[HKLM\Software\Borland\Delphi\.0]

где Х – число от 4 до 7.

Затем вредонос делает резервную копию файла:

<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcu

и сохраняет с именем

<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.bak

Копирует файл "SysConst.pas" из каталога

<путь_к_каталогу_с_установленной_Delphi >\source\rtl\sys

в каталог

<путь_к_каталогу_с_установленной_Delphi >\lib

Далее вредонос заражает файл

<путь_к_каталогу_с_установленной_Delphi >\lib\SysConst.pas

дописывая код в секцию "implementation". После этого компилирует зараженный файл, используя компилятор Delphi:

<путь_к_каталогу_с_установленной_Delphi >\bin\dcc32.exe

В результате получается новый инфицированный файл:

<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcu

Затем удаляет файл:

<путь_к_каталогу_с_установленной_Delphi >\lib\SysConst.pas

Таким образом, все скомпилированные в Delphi приложения будут включать в себя код вируса и при запуске выполнять функционал вредоноса.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
  1. Удалить файл:

    <путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcu


  2. Переименовать файл:

    <путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.bak


    в

    <путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcu

  3. Произвести полную проверку компьютера
 
Сверху