Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:W32/Induc.A
Descoperit pe data de:18/08/2009
Tip:File Infector
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut
Fisier static:Nu
Versiune VDF:7.01.05.130

 General Alias:
   •  Symantec: W32.Induc.A
   •  Mcafee: W32/Induc
   •  Kaspersky: Virus.Win32.Induc.a
   •  Sophos: W32/Induc-A
   •  Eset: Win32/Induc.A
   •  Bitdefender: Win32.Induc.A


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


 Detectie speciala  W32/Induc.A

Descriere:
Fisierul infectat verifica daca este instalat mediul de dezvoltare Delphi; astfel el verifica daca exista urmatoarele chei din registru:

HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\4.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\5.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\6.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\7.0.

Daca gaseste Delphi instalat, creeaza un backup al fisierului original "%Delphi_RootDir%\lib\SysConst.dcu" ca "%Delphi_RootDir%\lib\SysConst.bak". Acesta constituie un semnal pentru malware ca mediul de dezvolatare a fost deja infectat.

Copiaza fisierul "%Delphi_RootDir%\source\rtl\sys\SysConst.pas" in "%Delphi_RootDir%\lib\SysConst.pas", modifica "%Delphi_RootDir%\lib\SysConst.pas" si il compileaza ca "%Delphi_RootDir%\lib\SysConst.dcu". Sterge apoi fisierul "SysConst.pas" modificat.

Ca urmare a acestor modificari orice aplicatie creata de aceasta instalare Delphi infectata va fi infectata.

Daca valoarea RootDir din HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 este invalida fisierul infectat da urmatorul mesaj de eroare:



si termina executia.

Daca nu exista mediul de dezvoltare Delphi pe sistem, fisierul infectat va rula fara sa infecteze alte fisiere.

Description inserted by Andrei Ivanes on Monday, August 24, 2009
Description updated by Andrei Ivanes on Monday, August 24, 2009

Back . . . .