近日國(guó)內(nèi)截獲了一個(gè)針對(duì)計(jì)算機(jī)程序員、尤其是Delphi使用者的病毒“Delphi夢(mèng)魘”（Win32.Induc.b.820224 ），簡(jiǎn)單描述該毒行為，就是：它專門感染Delphi程序員的電腦，一旦成功，程序員今后寫出的任何程序，都將帶有該毒！

傳播特性

1.只會(huì)危害安裝delphi的電腦，該病毒的潛伏性很強(qiáng)，感染后，不做任何破壞，只是在感染的電腦上編譯EXE或DLL程序文件時(shí)，將病毒代碼植入。

2.在沒有安裝delphi的電腦上運(yùn)行植入病毒代碼的EXE或DLL程序時(shí)，也不會(huì)產(chǎn)生任何危害，如果沒有檢查到本機(jī)安裝有delphi，病毒也不會(huì)繼續(xù)繁殖和傳播。

產(chǎn)生過程

當(dāng)隨著被感染文件進(jìn)入電腦系統(tǒng)，“Delphi夢(mèng)魘”就開始檢驗(yàn)系統(tǒng)中是否有Delphi環(huán)境。它通過循環(huán)檢測(cè)注冊(cè)表鍵值的方法查找dephi的安裝目錄，如果找到dephi這個(gè)冤大頭，就將惡意代碼前排插入SysConst.pas文件，這個(gè)文件編譯的時(shí)候，會(huì)生成SysConst.dcu，而這個(gè)文件會(huì)被添加到每個(gè)新的dephi工程中。

于是，程序員們所編寫的程序就全部帶毒了，一個(gè)個(gè)隱秘的“病毒兵工廠”就這樣誕生，更可怕的是，通過對(duì)受感染文件的分析，該毒在全球網(wǎng)絡(luò)中已經(jīng)傳播了多月，目前已知受感染最早的系統(tǒng)，在2008年的年末就已中招。

貌似無威脅，實(shí)則危機(jī)四伏

雖說病毒原作者看上去沒啥壞心，但在國(guó)內(nèi)廣大唯利是圖的黑客（病毒作者）眼中，這無疑是一份大大的餡餅。自三月份刑法新條例出臺(tái)、政府部門對(duì)病毒木馬編寫以及黑客行為加大打擊后，不法黑客的生意越來越難做，突然出現(xiàn)這種有助降低犯罪技術(shù)門檻的安全事件，他們絕不會(huì)愿意放過。目前，“Delphi夢(mèng)魘”（Win32.Induc.b.820224 ）的源代碼已經(jīng)在網(wǎng)絡(luò)中完全公布流傳，無法排除國(guó)內(nèi)病毒作者對(duì)其進(jìn)行改造、進(jìn)化的可能。如果他們對(duì)該毒加入下載木馬、盜號(hào)等惡意行為指令，很難說會(huì)DIY出怎樣的猛毒。

安全方案

在此提醒習(xí)慣手動(dòng)解決問題的Delphi程序員，這個(gè)病毒具有二次感染能力，也就是說原來你編譯出來的所有Delphi程序都可以再次感染你機(jī)器上的Delphi庫(kù)文件，如果使用自己編寫的查殺工具，請(qǐng)一定要檢查你所寫出的工具是否也含毒，否則將陷入一個(gè)死循環(huán)。

要徹底清除該病毒，需做到以下幾點(diǎn)：

1、使用殺軟掃描所有的Delphi編寫的可執(zhí)行文件并清除病毒。（或直接刪除所有Delphi編寫的可執(zhí)行文件，包括從網(wǎng)上下載的）

2、將文件 %DelphiInstallPath%\Lib\SysConst.dcu 刪掉，然后執(zhí)行步驟4 或 步驟5和6。

3、將文件 %DelphiInstallPath%\Lib\SysConst.bak 改名為 SysConst.dcu，結(jié)束。

4、調(diào)用 DCC32.exe 編譯出新的 SysConst.dcu ，編譯命令如下： %DelphiInstallPath%\bin\DCC32.exe "%DelphiInstallPath%\\Source\Rtl\Sys\SysConst.pas"

5、將新編譯的SysConst.dcu（在%DelphiInstallPath%\\Source\Rtl\Sys\目錄下）文件復(fù)制到 %DelphiInstallPath%\Lib\ 目錄，結(jié)束。