病毒类型：Virus（病毒） 

大小: 大约5 KB

 

影响平台：微软Windows操作系统 

可查杀病毒库版本：4346 (20090818)

 

简介

Win32/Induc.A 是通过在感染机器中搜寻Delphi IDE 安装路径来实施感染，开发人员在使用Delphi开发工具编译可执行文件时，病毒自动感染所编译的文件。该病毒目前只有传播性，还没有发现其它危害，但是病毒本身极易产生变种在将来可能会有恶意行为。

 

该病毒针对下列文件进行拷贝（源文件，目的文件）：

%delphi rootdir%\Lib\SysConst.dcu， %delphi rootdir%\Lib\SysConst.bak

%delphi rootdir%\source\rtl\sys\SysConst.pas, %delphi rootdir%\Lib\SysConst.pas

 

修改了下列文件：

%delphi rootdir%\Lib\SysConst.pas

该病毒将自身源代码写入文件。

 

该病毒执行下列命令行：

"%delphi rootdir%\Bin\dcc32.exe" "%delphi rootdir%\Lib\SysConst.pas"

最终文件"%delphi rootdir%\Lib\SysConst.dcu"包括了原始代码。

 

删除了下列文件：

%delphi rootdir%\Lib\SysConst.pas

 

文件感染

Win32/Induc.A是一个感染Delphi编译文件的病毒。

用Delphi语言编写的编译程序也会携带病毒代码。插入代码的大小为5KB。

其他信息

Delphi版本4.0、5.0、6.0、7.0 均已证实会受影响。

 

解决方法：

如果您遇到以上报警，请您通过%delphi rootdir%\Lib\SysConst.dcu查看SysConst.Dcu这个文件的占用空间是否为17K,原文件应该是12K，而多出的5K正是此病毒插入的代码所致，请参考下面的方法解决，在操作完成前请不要运行任何该机器上delphi编译生成的文件：

1、请首先将%delphi rootdir%\Lib\SysConst.Dcu 手动删掉。

2、然后将%delphi rootdir%\Lib\SysConst.Bak改名为SysConst.Dcu，并且保留SysConst.Bak，或者建立名为SysConst.Bak的文件夹，并将SysConst.Dcu文件属性改为只读。

3、请升级ESET NOD32病毒库到最新版本，然后全盘扫描计算机将被此病毒感染的程序全盘隔离清除。