virus.win32.sipem.b ¿Qué tipo de troyano es este? Por favor, resuélvalo.
Obviamente, se trata de un virus relativamente puramente técnico que permite a los programadores de Delphi añadir código viral a sus proyectos sin saberlo.
Comportamiento del virus
1. El virus se ejecuta durante el enésimo procesamiento de la tabla de inicialización (llamando a StartExe), es decir, la ejecución del código del virus se completa antes de que el programa cargue el archivo Delphi normal. (El número N varía según la versión de Delphi del usuario infectado).
2. Clave de registro de detección de bucles HKLM\software\Borland\Delphi\X.0 para determinar si Delphi está instalado en la máquina actual. Versión de detección (4.0 5.0 6.0 7.0). Si la máquina no está instalada, el código del virus saltará directamente y se realizará el trabajo de inicialización normal sin ser infectado por el virus.
3. Si Delphi está instalado, puede acceder al registro para obtener la ruta de instalación de Delphi del usuario.
4. Haga una copia de seguridad de la carpeta de origen SysConst.pas y de la carpeta de biblioteca SysConst.dcu según la ruta de instalación del usuario, es decir, %%\Source\Rtl\Sys\SysConst.pas y %%\Lib. \SysConst.dcu.
5. Escriba el código fuente de Delphi en el archivo fuente SysConst.pas
6. Llame a %%Bin\dcc32.exe para generar la biblioteca local del archivo de código fuente infectado SysConst. .pas y colóquelo en %\Lib\SysConst.dcu para reemplazar el archivo SysConst.dcu.
7. Restaure la copia de seguridad normal de SysConst.pas y elimine los archivos infectados en el código fuente.
8. Cambie la hora del archivo SysConst.dcu reemplazado en el archivo de la biblioteca para que sea coherente con otros archivos.