SiteShoter 1.38 汉化绿色版(把网页保存为图片)
WinFontsView 1.05 汉化绿色修正版(08-26更新)
8月25
刚刚在论坛看帖,发现一个猛帖:最近发现的一种病毒,会感染Delphi的编译文件,只要通过Delphi编译出来的文件都会带有病毒了。
感叹一下:这病毒制作者也太有才了,直接感染编译环境,那写啥啥就是毒。。。
现在只会感染Delphi,要是迟些发展成感染VC、VB、JAVA、.NET、BCB……那大家就不用用程序了。。。不过大家都是程序员,何必这么狠呢。
原文如下:
感叹一下:这病毒制作者也太有才了,直接感染编译环境,那写啥啥就是毒。。。
现在只会感染Delphi,要是迟些发展成感染VC、VB、JAVA、.NET、BCB……那大家就不用用程序了。。。不过大家都是程序员,何必这么狠呢。
原文如下:
引用
Delphi民工的梦魇!
一把锈剑
-------------
最近金山云安全中心截获了一个很牛X的病毒,金山的反病毒工程师不由叹道YY很久的东西终于有人实现了。
这是一段针对IT民工、尤其是Delphi程序员的病毒,简单的描述该毒行为,就是:它专门感染程序员的电脑,一旦成功,程序员今后写出的任何程序,都是带毒的。
它通过某种方式去查找dephi的安装目录,如果找到dephi这个冤大头,就将邪恶的恶意代码前排插入SysConst.pas文件,这个文件编译的时候,会生成SysConst.dcu,而这个文件会被添加到每个新的dephi工程中,all right!现在,民工们所编写的程序就全部都带毒咯!。
而更可怕的是,根据对染毒系统的分析,我们发现该毒在全球网络中已经传播了多月。已不知道有多少民工的生产工具中了招……
Delphi程序员的悲惨经历——病毒运行过程描述
某年某月某日,dephi噩梦中开始无声无息的执行。病毒的运行以后,首先执行后从注册表"HKEY_LOCAL_MACHINE\Software\Borland\Delphi\"的RootDir值下读取Delphi路径.然后再读取delphi路径下的\source\rtl\sys\SysConst.pas文件,循环读取直到implementation行.然后跳出循环,下面开始前排插入恶意代码.保存文件后,最后使用MoveFile函数将原来的SysConst.dcu命名为SysConst.bak,最后使用CreateProcess函数隐藏调用dcc32.exe编译被感染后的SysConst.pas单元文件为SysConst.dcu.获取原文件时间,修改被感染后文件的时间,所以从文件时间上看不出任何变化.被感染后的编译环境只要加入SysUtils单元所编译的任意可执行文件都会成为病毒载体,一个隐秘的病毒兵工厂就这样一个个的诞生。
不幸中的万幸
虽然有可能已有大量程序员中招,但通过代码我们发现,该毒作者的用意似乎并不在破坏,只是静默无声无色地实现感染,一次又一次的感染,不断地传播代码的主体,病毒就这样不断传播,直到遍及全球所有IT民工的电脑,这一定是一个能让他觉得十分有成就感的过程。
天朝的病毒作者兴奋了
虽说病毒原作者看上去没啥坏心,但是在天朝广大趋利的病毒作者眼中,这无疑是一份大大的馅饼。根据目前金山云安全中心的监控首次截获病毒是8.13号,相信在孜孜不倦的天朝黑客的手中,这份看上去温和的代码会不断的改良,实现下载盗号器等功能,不久便“绽放”在神州大地。
手工解决方案
这个病毒具有二次感染能力,也就是说原来你编译出来的所有Delphi程序都可以再次感染你机器上的Delphi库文件,要彻底清除该病毒需做到以下几点:
1、不要运行任何Delphi编写的程序。
2、使用杀软扫描所有的Delphi编写的可执行文件并清除病毒。(或直接删除所有Delphi编写的可执行文件,包括从网上下载的)
3、将文件 %DelphiInstallPath%\Lib\SysConst.dcu 删掉,然后执行步骤4 或 步骤5和6。
4、将文件 %DelphiInstallPath%\Lib\SysConst.bak 改名为 SysConst.dcu,结束。
5、调用 DCC32.exe 编译出新的 SysConst.dcu ,编译命令如下: %DelphiInstallPath%\bin\DCC32.exe "%DelphiInstallPath%\\Source\Rtl\Sys\SysConst.pas"
6、将新编译的SysConst.dcu(在%DelphiInstallPath%\\Source\Rtl\Sys\目录下)文件复制到 %DelphiInstallPath%\Lib\ 目录,结束。
7、使用金山毒霸2009并升级到最新版本全盘扫描清除已经被感染的delphi程序
金山互联网安全技术研发中心
反病毒社会专家管理组--黑白徽章
一把锈剑
-------------
最近金山云安全中心截获了一个很牛X的病毒,金山的反病毒工程师不由叹道YY很久的东西终于有人实现了。
这是一段针对IT民工、尤其是Delphi程序员的病毒,简单的描述该毒行为,就是:它专门感染程序员的电脑,一旦成功,程序员今后写出的任何程序,都是带毒的。
它通过某种方式去查找dephi的安装目录,如果找到dephi这个冤大头,就将邪恶的恶意代码前排插入SysConst.pas文件,这个文件编译的时候,会生成SysConst.dcu,而这个文件会被添加到每个新的dephi工程中,all right!现在,民工们所编写的程序就全部都带毒咯!。
而更可怕的是,根据对染毒系统的分析,我们发现该毒在全球网络中已经传播了多月。已不知道有多少民工的生产工具中了招……
Delphi程序员的悲惨经历——病毒运行过程描述
某年某月某日,dephi噩梦中开始无声无息的执行。病毒的运行以后,首先执行后从注册表"HKEY_LOCAL_MACHINE\Software\Borland\Delphi\"的RootDir值下读取Delphi路径.然后再读取delphi路径下的\source\rtl\sys\SysConst.pas文件,循环读取直到implementation行.然后跳出循环,下面开始前排插入恶意代码.保存文件后,最后使用MoveFile函数将原来的SysConst.dcu命名为SysConst.bak,最后使用CreateProcess函数隐藏调用dcc32.exe编译被感染后的SysConst.pas单元文件为SysConst.dcu.获取原文件时间,修改被感染后文件的时间,所以从文件时间上看不出任何变化.被感染后的编译环境只要加入SysUtils单元所编译的任意可执行文件都会成为病毒载体,一个隐秘的病毒兵工厂就这样一个个的诞生。
不幸中的万幸
虽然有可能已有大量程序员中招,但通过代码我们发现,该毒作者的用意似乎并不在破坏,只是静默无声无色地实现感染,一次又一次的感染,不断地传播代码的主体,病毒就这样不断传播,直到遍及全球所有IT民工的电脑,这一定是一个能让他觉得十分有成就感的过程。
天朝的病毒作者兴奋了
虽说病毒原作者看上去没啥坏心,但是在天朝广大趋利的病毒作者眼中,这无疑是一份大大的馅饼。根据目前金山云安全中心的监控首次截获病毒是8.13号,相信在孜孜不倦的天朝黑客的手中,这份看上去温和的代码会不断的改良,实现下载盗号器等功能,不久便“绽放”在神州大地。
手工解决方案
这个病毒具有二次感染能力,也就是说原来你编译出来的所有Delphi程序都可以再次感染你机器上的Delphi库文件,要彻底清除该病毒需做到以下几点:
1、不要运行任何Delphi编写的程序。
2、使用杀软扫描所有的Delphi编写的可执行文件并清除病毒。(或直接删除所有Delphi编写的可执行文件,包括从网上下载的)
3、将文件 %DelphiInstallPath%\Lib\SysConst.dcu 删掉,然后执行步骤4 或 步骤5和6。
4、将文件 %DelphiInstallPath%\Lib\SysConst.bak 改名为 SysConst.dcu,结束。
5、调用 DCC32.exe 编译出新的 SysConst.dcu ,编译命令如下: %DelphiInstallPath%\bin\DCC32.exe "%DelphiInstallPath%\\Source\Rtl\Sys\SysConst.pas"
6、将新编译的SysConst.dcu(在%DelphiInstallPath%\\Source\Rtl\Sys\目录下)文件复制到 %DelphiInstallPath%\Lib\ 目录,结束。
7、使用金山毒霸2009并升级到最新版本全盘扫描清除已经被感染的delphi程序
金山互联网安全技术研发中心
反病毒社会专家管理组--黑白徽章
出处:霏凡论坛(非凡论坛)
转载时必须以链接形式注明出处及本声明!
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,left=50,top=50status=no,resizable=yes'));keyit.focus();){kind=link}