https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

卡巴斯基偵測出可感染Delphi環境的病毒

2009 / 08 / 24
張維君整理
卡巴斯基偵測出可感染Delphi環境的病毒

卡巴斯基實驗室日前在CodeGear Delphi 綜合軟體開發平台中偵測到一新病毒,命名為Virus.Win32.Induc.a。此病毒目前還不構成威脅,除了感染之外,沒有其他的破壞行為。推測最有可能是一種新病毒的示威或測試動作。

 

 此隻病毒會Delphi環境中建立起可執行的檔案。首先將先產生intermediate .dcu(Delphi compiled unit),之後再被連結去建立Windows可執行檔。當受感染的應用程式啟動時,新病毒就會跟著運作。它會先確認目前是否正在Delphi開發版本的4.05.06.07.0環境中運作。如果是,它將會編譯DelphiSysconst.pas檔,並產生另一個修改後的Sysconst.dcu

 

 由於幾乎所有Delphi的專案都會使用「SysConst」,這表示有一個系統模組感染後,便會造成所有在開發中的應用程式跟著遭到感染。換句話說,修改SysConst.dcu檔將導致接下來的程式都在受感染的環境中建立,也包含新病毒的程式碼在內;因此此修改後的.pas檔則不再被需要,而可被刪除。

 

 這種病毒目前還不構成威脅,除了感染之外,沒有其他的攻擊行為。但熱門的即時通訊軟體(QIP) 目前已被感染許多版本,而且開發者經常發佈.dcu檔的習慣也讓Virus.Win32.Induc.a將進一步散佈在世界各地,未來很可能轉型並落入網路犯罪者手中,使其更具破壞性。