gpt4 book ai didi

delphi - Win32/Induc.A, "Delphi"-病毒,感染SysConst.pas,有人有代码示例可供搜索吗?

转载 作者:行者123 更新时间:2023-12-03 14:47:59 32 4
gpt4 key购买 nike

我刚刚注意到最近升级了 Take Command据报告感染了该病毒,并且在过去几个小时内对 NOD 进行了更新,增加了检测该病毒的能力,这就是我意识到它的原因。在这种情况下,从我接受的答案中链接的文章内容来看,它看起来像是误报。

尽管如此...

显然,该病毒仅在受感染程序运行时运行,但随后它会尝试定位 Delphi 安装,找到 SysConst.pas 文件,并在其中添加必要的代码,以使 Delphi 编译带有病毒的新程序.

但是,我在这台机器上没有安装 Delphi,因此至少应该使这个问题变得很小,但在工作中我们有几台机器安装了 Delphi。幸运的是,我的工作机器上没有更新形式的 Take Command,但是可以说,人们最近更新的用 Delphi 编写的其他程序并不多...

所以我想我应该问一下。有没有人看到过活的受感染的 SysConst.pas 文件,并且可以提供一些不应该在其中的示例代码?这样我们就可以运行机器并确保我们没有问题?

最佳答案

我一直在分析病毒。网络上流传的信息称它会感染受感染计算机上编译的所有可执行文件,但这一信息并不完全正确。它仅感染没有 VCL 运行时包且没有调试 DCU 编译的可执行文件。

如果使用包进行编译,SysConst 单元已经在编译后的 VCL 包中,不会受到影响。

病毒仅将自身添加到 SysConst.dcu 文件的非调试版本中。

否则,到目前为止我在网上读到的内容都是准确的。病毒将 SysConst.pas 文件复制到“实现”行,然后将自身附加到新文件(SysConst.pas 有一个空的实现部分 - 它只是常量声明)。它将原始 SysConst.dcu 备份到 SysConst.bak,将受感染的源代码副本编译为新的 SysConst.dcu,然后删除源副本。最后,它设置新受感染 dcu 文件的文件创建和修改日期,以匹配旧的干净文件。鬼鬼祟祟的!

它除了重复之外什么也不做 - 没有恶意负载。

关于delphi - Win32/Induc.A, "Delphi"-病毒,感染SysConst.pas,有人有代码示例可供搜索吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1301991/

32 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com