Nume:W32/Induc.A
Descoperit pe data de:18/08/2009
Tip:File Infector
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut
Fisier static:Nu
Versiune VDF:7.01.05.130

 General Alias:
   •  Symantec: W32.Induc.A
   •  Mcafee: W32/Induc
   •  Kaspersky: Virus.Win32.Induc.a
   •  Sophos: W32/Induc-A
   •  Eset: Win32/Induc.A
   •  Bitdefender: Win32.Induc.A


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


 Detectie speciala  W32/Induc.A

Descriere:
Fisierul infectat verifica daca este instalat mediul de dezvoltare Delphi; astfel el verifica daca exista urmatoarele chei din registru:

HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\4.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\5.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\6.0,
HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\7.0.

Daca gaseste Delphi instalat, creeaza un backup al fisierului original "%Delphi_RootDir%\lib\SysConst.dcu" ca "%Delphi_RootDir%\lib\SysConst.bak". Acesta constituie un semnal pentru malware ca mediul de dezvolatare a fost deja infectat.

Copiaza fisierul "%Delphi_RootDir%\source\rtl\sys\SysConst.pas" in "%Delphi_RootDir%\lib\SysConst.pas", modifica "%Delphi_RootDir%\lib\SysConst.pas" si il compileaza ca "%Delphi_RootDir%\lib\SysConst.dcu". Sterge apoi fisierul "SysConst.pas" modificat.

Ca urmare a acestor modificari orice aplicatie creata de aceasta instalare Delphi infectata va fi infectata.

Daca valoarea RootDir din HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 este invalida fisierul infectat da urmatorul mesaj de eroare:



si termina executia.

Daca nu exista mediul de dezvoltare Delphi pe sistem, fisierul infectat va rula fara sa infecteze alte fisiere.

Descrição enviada por Andrei Ivanes em segunda-feira, 24 de agosto de 2009
Descrição atualizada por Andrei Ivanes em segunda-feira, 24 de agosto de 2009

Voltar . . . .