| Время детектирования | 09 окт 2009 11:38 MSK |
| Время выпуска обновления | 07 дек 2011 20:12 MSK |
| Описание опубликовано | 09 окт 2009 11:38 MSK |
Вредоносная программа, заражающая файл базовых констант "SysConst.pas" среды разработки программного обеспечения - Delphi. Является приложением Windows (PE-EXE файл). Размер варьируется в зависимости от создаваемого приложения, которое компилируется с включением зараженного модуля. Написана на Delphi.
После запуска вредонос производит поиск каталога с установленной средой разработки - Delphi, читая значение параметра "RootDir" из ключа системного реестра:
[HKLM\Software\Borland\Delphi\где Х – число от 4 до 7. Затем вредонос делает резервную копию файла:.0]
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcuи сохраняет с именем
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.bakКопирует файл "SysConst.pas" из каталога
<путь_к_каталогу_с_установленной_Delphi >\source\rtl\sysв каталог
<путь_к_каталогу_с_установленной_Delphi >\libДалее вредонос заражает файл
<путь_к_каталогу_с_установленной_Delphi >\lib\SysConst.pasдописывая код в секцию "implementation". После этого компилирует зараженный файл, используя компилятор Delphi:
<путь_к_каталогу_с_установленной_Delphi >\bin\dcc32.exeВ результате получается новый инфицированный файл:
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcuЗатем удаляет файл:
<путь_к_каталогу_с_установленной_Delphi >\lib\SysConst.pasТаким образом, все скомпилированные в Delphi приложения будут включать в себя код вируса и при запуске выполнять функционал вредоноса.
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcu
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.bakв
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcu
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера.
В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:
Virus.