Технические детали
Вредоносная программа, заражающая файл базовых констант "SysConst.pas" среды разработки программного обеспечения - Delphi. Является приложением Windows (PE-EXE файл). Размер варьируется в зависимости от создаваемого приложения, которое компилируется с включением зараженного модуля. Написана на Delphi.
Деструктивная активность
После запуска вредонос производит поиск каталога с установленной средой разработки - Delphi, читая значение параметра "RootDir" из ключа системного реестра:
[HKLM/Software/Borland/Delphi/.X]
где Х – число от 4 до 7. Затем вредонос делает резервную копию файла:
<путь_к_каталогу_с_установленной_Delphi>/lib/sysconst.dcu
и сохраняет с именем
<путь_к_каталогу_с_установленной_Delphi>/lib/sysconst.bak
Копирует файл "SysConst.pas" из каталога
<путь_к_каталогу_с_установленной_Delphi>/source/rtl/sys
в каталог
<путь_к_каталогу_с_установленной_Delphi>/lib
Далее вредонос заражает файл
<путь_к_каталогу_с_установленной_Delphi>/lib/SysConst.pas
дописывая код в секцию "implementation". После этого компилирует зараженный файл, используя компилятор Delphi:
<путь_к_каталогу_с_установленной_Delphi>/bin/dcc32.exe
В результате получается новый инфицированный файл:
<путь_к_каталогу_с_установленной_Delphi>/lib/sysconst.dcu
Затем удаляет файл:
<путь_к_каталогу_с_установленной_Delphi>/lib/SysConst.pas
Таким образом, все скомпилированные в Delphi приложения будут включать в себя код вируса и при запуске выполнять функционал вредоноса.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить файл:
<путь_к_каталогу_с_установленной_Delphi>/lib/sysconst.dcu
- Переименовать файл:
<путь_к_каталогу_с_установленной_Delphi>/lib/sysconst.bak
в
<путь_к_каталогу_с_установленной_Delphi>/lib/sysconst.dcu
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
