Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:W32/Induc.A
发现日期:13/12/2012
类型:文件感染器
广泛传播:
病毒传播个案呈报:中等程度
感染/传播能力:低程度至中程度
破坏 / 损害程度:低程度
静态文件:
VDF 版本:7.11.53.216 - donderdag 13 december 2012
IVDF 版本:7.11.53.216 - donderdag 13 december 2012

 况概描述 别名:
   •  Symantec: W32.Induc.A
   •  Mcafee: W32/Induc
   •  Kaspersky: Virus.Win32.Induc.a
   •  Sophos: W32/Induc-A
   •  Eset: Win32/Induc.A
   •  Bitdefender: Win32.Induc.A


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


 特殊检测  W32/Induc.A

说明:
受感染的文件会检查是否安装了 Delphi 开发环境,因此它会检查以下某个注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\4.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\5.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\6.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\7.0.

如果已安装了 Delphi,原始 "%Delphi_RootDir%\lib\SysConst.dcu" 的备份文件会另存为 "%Delphi_RootDir%\lib\SysConst.bak"。 这成为已感染该环境的恶意软件的标志。

它会将文件 "%Delphi_RootDir%\source\rtl\sys\SysConst.pas" 复制到 "%Delphi_RootDir%\lib\SysConst.pas"、修改 "%Delphi_RootDir%\lib\SysConst.pas" 并将其编译到 "%Delphi_RootDir%\lib\SysConst.dcu" 库。然后,它会删除已修改的 "SysConst.pas" 文件。

结果是,以后用受感染的 Delphi 软件生成的任何程序都会被感染。

如果 HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 的 RootDir 值无效,则受感染的文件会崩溃,并显示以下错误消息:



如果系统中未安装 Delphi 环境,受感染的文件也会运行,但不会感染其他文件。

Beschrijving ingevoegd door Andrei Ivanes op maandag 24 augustus 2009
Beschrijving bijgewerkt door Andrei Ivanes op maandag 24 augustus 2009

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.