Индюк (Induc)

Индюк — вирус заражающий SysConst.pas — константу Delphi, внедряя туда свой код. До индюка имел название: «Indcu»

Статья написана опираясь на Delphi-7. Актуальность данной статьи для других версий гарантировать не могу.

Ещё в далеком 2000-ом году один чувак написал простенькую программу, которую не палили антивирусы.

Ныне практически все антивирусы «знают врага в лицо», так сказать.

Как работает этот Induc?

  1. Проверяет наличие установленной Delphi на компьютере через ключ реестра — HKLM\Software\Borland\Delphi\.
  2. Редактирует файл SysConst.pas.
  3. Компилирует файл.
  4. Очищает файл SysConst.pas или добавляет туда какую-нибудь ересь, типа: «Carpathian Forest CF1.3 BondedByBlood».

Чем опасен?

Опасен лишь тем, что выводит из строя программы созданные при помощи delphi. Такими являлись QIP 2005, плеер AIMP и вроде даже кипер от веб-мани. Ко всему прочему под эту гребенку попали некоторые недовирусы разных кулхацкеров.

Несмотря на то, что делфи-7 уже довольно стара, она по-прежнему имеет свою аудиторию, которая усердно не желает менять её на более новые поделки теперь уже компании Embarcadero.

В исходном коде Induc есть пара не используемых процедур:
Check, которая проверяет дату на то, сегодня-ли 13 октября 2010 года или позже (как жаль, что это не пятница. Было бы эпично)

Её код выглядит вот так:

procedure Check;
var
  W: _SYSTEMTIME;
begin
  GetSystemTime(W);
  If w.wYear > 2010 then Analyze;
  If w.wYear = 2010 then
    If w.wMonth > 10 then Analyze;
  If w.wYear = 2010 then
    If w.wMonth = 10 then
      If w.wDay >= 13 then  Analyze;
end;

Следом если ифы срабатывают, то процедура Check запускает другую процедуру под названием Analize, которая в свою очередь удаляет многие необходимые для работы системы файлы, такие как: explorer.exe, logoff.exe, hal.dll (из-за которого кстати и так частенько у большинства возникает проблема с включением компьютера даже без индюка) и ещё некоторые другие. Следом во все остальные файлы (даже файлы на флэшках) циклично повторяясь и тем самым поганив всё записывается строчка:
Carpathian Forest CF1.3 BondedByBlood
В итоге всплывает диалоговое окошко с довольно звучным заголовком:
«TODAY IS A NICE DAY TO DIE.» (Сегодня хороший день чтобы умереть) и уже поднадоевшим текстом: «Carpathian Forest CF1.3 BondedByBlood».

Подробнее исходный код можно изучить здесь

Как сделать тест на ВИЧ узнать что ваша делфи заражена индюком?

Открываем папку Source\Rtl\Sys в установленной Delphi. Если при установке вы не меняли путь, то она (делфя) должна проживать в Program Files: C:\Program Files\Borland\Delphi7\
Находим в этой папке файл SysConst.pas и нервно проверяем размер файла. Он должен быть равен приблизительно 8 кб. Если больше или меньше, значит, с ним уже поработали.

Как предохраниться?
Можно поставить атрибут «Только для чтения» на файлы:

  1. SysConst.pas из папки Sys (ТУТПУТЬДОПАПКИСДЕЛФИ\Source\Rtl\Sys)
  2. SysConst.dcu из папки Lib (ТУТПУТЬДОПАПКИСДЕЛФИ\Lib)

Как вылечить?

Замените SysConst.pas из той самой папки Sys (ТУТПУТЬДОПАПКИСДЕЛФИ\Source\Rtl\Sys) на тот, что из этого архива.
Так же замените файл SysConst.dcu в папке Lib (ТУТПУТЬДОПАПКИСДЕЛФИ\Lib)

Ну и всё. Так же, чтобы избежать повторного заражения настоятельно рекомендую не запускать ваши старые скомпилированные .exe файлы, а просто лишний раз открыть исходник и перекомпилировать.

Удачного изгнания вируса и безопасных связей!