Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:W32/Induc.A
Entdeckt am:18/08/2009
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig
Statische Datei:Nein
VDF Version:7.01.05.130

 General Aliases:
   •  Symantec: W32.Induc.A
   •  Mcafee: W32/Induc
   •  Kaspersky: Virus.Win32.Induc.a
   •  Sophos: W32/Induc-A
   •  Eset: Win32/Induc.A
   •  Bitdefender: Win32.Induc.A


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


 Spezialerkennung  W32/Induc.A

Beschreibung:
Die infizierte Datei berprft zunchst, ob auf dem System eine Delphi Entwicklungsumgebung installiert ist. Dafr werden folgende Registry Eintrge ausgelesen:

HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\4.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\5.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\6.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\7.0.

Sollte eine Delphi Entwicklungsumgebung installiert sein, so wird vom Virus eine Sicherung der Datei "SysConst.dcu" als "SysConst.bak" gespeichert. Dies dient als eine Art "Flag", mit dem der Virus feststellen kann, ob ein System bereits infiziert wurde.

Nachdem die Kopie der Datei "SysConst.dcu" erstellt wurde fgt der Virus Schadcode zu der Datei "SysConst.pas" hinzu und nutzt anschlieend den Compiler der Entwicklungsumgebung um aus der infizierten Datei "SysConst.pas" die Datei "SysConst.dcu" zu kompilieren. Anschlieend lscht er die Datei "SysConst.pas". Diese Vorgehensweise hat zur Folge, dass zuknftige Programme, die mit der Entwicklungsumgebung erstellt werden, ebenfalls mit dem Virencode befallen sind.

Wenn infizierte Dateien auf einem System ausgefhrt werden, bei denen der Registry-Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 ungltig ist, erhlt der Anwender folgende Fehlermeldung und das Programm beendet sich:



Ist auf dem System keine Delphi Entwicklungsumgebung installiert werden keine Dateien von dem Virus infiziert.

Die Beschreibung wurde erstellt von Andrei Ivanes am Montag, 24. August 2009
Die Beschreibung wurde geändert von Andrei Ivanes am Montag, 24. August 2009

zurück . . . .