Способ распространения
Win32.Induc, распространяется вместе с приложениями разработанными в среде Delphi, которые скомпилированы с модифицированным файлом SysConst.dcu, содержащим вирус.
Техническое описание
Win32.Induc представляет собой исполняемый файл, после запуска которого в системе с установленной средой разработки Delphi, происходят следующие действия:
- Проверяется наличие установленной среды разработки Delphi (версии с 4 по 7), по содержимому ключа в реестре HKLM\Software\Borland\Delphi\x.0\
- Если Delphi обнаружена, тогда вирус модифицирует файл %DELPHI_RootDir%\source\rtl\sys\SysConst.pas добавляя себя в него. После этого он осуществляет компиляцию SysConst.pas , при помощи %DELPHI_RootDir%\bin\dcc32.exe, в SysConst.dcu
- Далее происходит замена оригинального %DELPHI_RootDir%\lib\SysConst.dcu на содержащий вирус, а оригинальный файл сохраняется, как lib\SysConst.bak После этого удаляется модифицированный %DELPHI_RootDir%\lib\SysConst.pas
Если у вашей среды разработки Delphi модифицирован файл SysConst.dcu, то все ваши приложения автоматически становятся распространителями этого вируса.
На данный момент этот вирус не несет в себе вредоносного функционала, кроме функций дальнейшего саморазмножения.
