| Время детектирования |
21 окт 2009 22:08 MSK |
| Время выпуска обновления |
22 окт 2009 03:17 MSK |
| Описание опубликовано |
09 окт 2009 11:38 MSK |
Технические детали
Вредоносная программа, заражающая файл базовых констант "SysConst.pas" среды разработки программного обеспечения - Delphi. Является приложением Windows (PE-EXE файл). Размер варьируется в зависимости от создаваемого приложения, которое компилируется с включением зараженного модуля. Написана на Delphi.
Деструктивная активность
После запуска вредонос производит поиск каталога с установленной средой разработки - Delphi, читая значение параметра "RootDir" из ключа системного реестра:
[HKLM\Software\Borland\Delphi\.0]
где Х – число от 4 до 7. Затем вредонос делает резервную копию файла:
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcu
и сохраняет с именем
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.bak
Копирует файл "SysConst.pas" из каталога
<путь_к_каталогу_с_установленной_Delphi >\source\rtl\sys
в каталог
<путь_к_каталогу_с_установленной_Delphi >\lib
Далее вредонос заражает файл
<путь_к_каталогу_с_установленной_Delphi >\lib\SysConst.pas
дописывая код в секцию "implementation". После этого компилирует зараженный файл, используя компилятор Delphi:
<путь_к_каталогу_с_установленной_Delphi >\bin\dcc32.exe
В результате получается новый инфицированный файл:
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcu
Затем удаляет файл:
<путь_к_каталогу_с_установленной_Delphi >\lib\SysConst.pas
Таким образом, все скомпилированные в Delphi приложения будут включать в себя код вируса и при запуске выполнять функционал вредоноса.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
-
Удалить файл:
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcu
-
Переименовать файл:
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.bak
в
<путь_к_каталогу_с_установленной_Delphi >\lib\sysconst.dcu
-
Произвести полную проверку компьютера Антивирусом с обновленными антивирусными базами.
|
