Red de conocimientos turísticos - Información de alquiler - Utilice delphi7 para generar un archivo exe. Después de ejecutarlo, se copiará en el directorio del sistema y eliminará los archivos en su ruta original. I. Información del archivo Tamaño del archivo: 163840 bytes Tipo de shell: ASPack 2.12 Idioma de escritura: Borland Delphi 6.0 Borland Delphi 6.0 Tipo de virus: Infectado II. Descripción del virus Esta muestra es un virus de infección de Delphi, que pasa Infectar el Archivo SysConst.dcu para infectar archivos de la biblioteca Delphi, lo que provoca que los usuarios se infecten cuando utilizan los archivos de la biblioteca infectados. Al infectar el archivo SysConst.dcu en el archivo de la biblioteca Delphi, los archivos generados se infectarán cuando los usuarios programen utilizando el archivo de la biblioteca infectado. III.Comportamiento del virus 1. El virus se ejecuta durante el enésimo procesamiento de la tabla de inicialización (llamando a StartExe), es decir, la ejecución del código del virus se completa antes de que el programa cargue el archivo Delphi normal. (El número N varía según la versión de Delphi del usuario infectado). 2. Recorra la clave de registro HKLM\software\Borland\Delphi\X.0 para determinar si Delphi está instalado actualmente en la máquina y detectar la versión (4.0 5.0 6.0 7.0). Si no está instalado en la máquina, el código del virus saltará directamente y se realizará el trabajo de inicialización normal sin ser infectado por el virus. 3. Si Delphi está instalado, acceda al registro para obtener la ruta de instalación de Delphi del usuario. 4.4 Haga una copia de seguridad de SysConst.pas en la carpeta de origen y de SysConst.dcu en la carpeta de la biblioteca de acuerdo con la ruta de instalación del usuario, es decir, \Source\Rtl\Sys\SysConst.pas y \Lib\SysConst.dcu. 5. Convierta el código fuente de Delphi en el archivo fuente SysConst.pas 6. Llame a \Lib\SysConst.dcu.pas 6. Llame a Bin\dcc32.exe para generar un archivo de biblioteca local y convierta el archivo fuente infectado SysConst.pas en \ Lib para reemplazar el archivo SysConst.dcu. 7. Restaure la copia de seguridad normal de SysConst.pas y elimine los archivos infectados en el código fuente. 8. Cambie la hora del archivo SysConst.dcu reemplazado en el archivo de la biblioteca para que sea coherente con otros archivos. 4. El grado de daño del virus De hecho, el virus no es dañino, pero cambia los archivos de la biblioteca y hace que todos los programas compilados generen códigos anormales. El comportamiento del código es el descrito anteriormente. Debido a que modificó el archivo de la biblioteca Delphi, los archivos compilados usando el lenguaje Delphi están infectados, por lo que los tamaños de los archivos infectados son diferentes y las condiciones de descascarado también son diferentes. Las muestras analizadas solo se seleccionan al azar, y el tamaño de la muestra y el tipo de descascarado. son diferentes Ninguno es representativo. 5. Solución Este virus tiene la capacidad de infección secundaria, lo que significa que todos los programas Delphi que compiló originalmente pueden infectar los archivos de la biblioteca Delphi en su máquina nuevamente. Para eliminar completamente el virus, debe hacer lo siguiente: 1. No ejecute ningún programa Delphi. 2. Utilice software antivirus para escanear todos los archivos. 2. Utilice software antivirus para escanear todos los archivos ejecutables escritos en Delphi y eliminar virus. (O elimine directamente todos los archivos ejecutables de Oh Delphi, incluidos los archivos descargados de Internet) 3. Elimine el archivo DelphiInstallPath\Lib\SysConst.dcu y luego realice el paso 4 o los pasos 5 y 6. 4. Elimine el archivo DelphiInstallPath\Lib\ SysConst .bak cambió su nombre a SysConst.bak.