Ho appena notato che un recente aggiornamento di Take Command è stato segnalato come infetto da questo virus e un aggiornamento a NOD nelle ultime ore ha aggiunto la possibilità di rilevare tale virus, motivo per cui ne sono venuto a conoscenza. In questo caso, a giudicare dal contenuto dell'articolo correlato alla risposta che ho accettato, sembra che sia un falso positivo.Win32/Induc.A, "Delphi" -virus, infetta SysConst.pas, qualcuno ha un campione di codice da cercare?
Tuttavia ...
A quanto pare, questo virus viene eseguito solo quando un programma infetto viene eseguito, ma poi tenta di individuare un impianto Delphi, trova il file SysConst.pas, e aggiunge il codice necessario in là per fare Delphi compila nuovi programmi con il virus in atto.
Non ho installato Delphi su questa macchina, tuttavia, in modo da rendere almeno questo problema un po 'qui, ma al lavoro abbiamo alcune macchine con Delphi installato. Fortunatamente non ho il Take Command in una forma aggiornata della mia macchina da lavoro, ma di chi non ci sono molti altri programmi scritti in Delphi che le persone hanno aggiornato di recente ...
Così, ho pensato di chiederlo Qualcuno ha visto un file SysConst.pas infetto dal vivo e potrebbe fornire qualche codice di esempio che non dovrebbe essere lì? In modo che possiamo correre attraverso le macchine e garantire che non abbiamo un problema?
Impressionante! uhm ... o sono l'unico che trova questa creatività? –
Beh, ad essere onesti sarebbe stato molto più intelligente se fosse rimasto residente, collegando ReadFile e funzioni API simili, e poi consegnato un file infetto a Delphi su ogni compilazione, invece di regolare il file su disco. Inoltre, ho letto un libro molto tempo fa in cui il badguy lavorava sul team del compilatore e faceva compilare al compilatore un virus nel codice compilato, in questo modo non c'erano tracce nel codice sorgente del virus, solo nell'eseguibile compilato. Ma sì, creativo :) –
Sai cos'è il libro? Non posso fare a meno di chiedermi se è stato ispirato da un exploit di vita reale: http://cm.bell-labs.com/who/ken/trust.html –