Технические детали
Вредоносная программа, заражающая файл базовых констант "SysConst.pas" среды разработки программного обеспечения - Delphi. Является приложением Windows (PE-EXE файл). Размер варьируется в зависимости от создаваемого приложения, которое компилируется с включением зараженного модуля. Написана на Delphi.
Деструктивная активность
После запуска вредонос производит поиск каталога с установленной средой разработки - Delphi, читая значение параметра "RootDir" из ключа системного реестра:
[HKLM\Software\Borland\Delphi\.0]
где Х – число от 4 до 7. Затем вредонос делает резервную копию файла:
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcu
и сохраняет с именем
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.bak
Копирует файл "SysConst.pas" из каталога
<путь_к_каталогу_с_установленной_Delphi >\source\rtl\sys
в каталог
<путь_к_каталогу_с_установленной_Delphi >\lib
Далее вредонос заражает файл
<путь_к_каталогу_с_установленной_Delphi >\lib\SysConst.pas
дописывая код в секцию "implementation". После этого компилирует зараженный файл, используя компилятор Delphi:
<путь_к_каталогу_с_установленной_Delphi >\bin\dcc32.exe
В результате получается новый инфицированный файл:
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcu
Затем удаляет файл:
<путь_к_каталогу_с_установленной_Delphi >\lib\SysConst.pas
Таким образом, все скомпилированные в Delphi приложения будут включать в себя код вируса и при запуске выполнять функционал вредоноса.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить файл:
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcu
- Переименовать файл:
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.bak
в
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcu
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
RSS-каналы
