程序员的梦魇：新病毒戏耍软件工程师

　　金山云安全中心近日在国内率先截获了一个针对计算机程序员、尤其是Delphi使用者的病毒“Delphi梦魇”（Win32.Induc.b.820224），简单描述该毒行为，就是：它专门感染Delphi程序员的电脑，一旦成功，程序员今后写出的任何程序，都将带有该毒！

　　噩梦的成长过程

　　当随着被感染文件进入电脑系统，“Delphi梦魇”就开始检验系统中是否有Delphi环境。它通过循环检测注册表键值的方法查找dephi的安装目录，如果找到dephi这个冤大头，就将恶意代码前排插入SysConst.pas文件，这个文件编译的时候，会生成SysConst.dcu，而这个文件会被添加到每个新的dephi工程中。

　　于是，程序员们所编写的程序就全部带毒了，一个个隐秘的“病毒兵工厂”就这样诞生，

　　更可怕的是，通过对受感染文件的分析，金山毒霸反病毒工程师发现，该毒在全球网络中已经传播了多月，目前已知受感染最早的系统，在2008年的年末就已中招。

　　而根据金山毒霸云安全系统的监测，目前已有多家知名软件厂商的产品感染了该毒，所影响的用户数量庞大，甚至难以在短时间内统计得出。

　　不幸中的万幸

　　虽然已有大量的Delphi程序员和软件产品中招，但通过对“Delphi梦魇”（Win32.Induc.b.820224）代码的分析，金山毒霸反病毒工程师发现，该毒作者的用意似乎并不在破坏，只是静默地实现感染，不断传播代码的主体。病毒就这样不断传播，直到遍及全球所有基于Delphi环境的电脑，而对没有安装Delphi相关软件的普通电脑，则是完全无效。我们尚不清楚作者是在怎样的条件下编写出该毒的，但如果他是醉心于纯技术研究的人，那么该毒的大面积感染一定会是个能让他觉得十分有成就感的过程。

 

　　国内无良黑客的兴奋剂

　　虽说病毒原作者看上去没啥坏心，但是金山毒霸反病毒工程师很担心，在国内广大唯利是图的黑客（病毒作者）眼中，这无疑是一份大大的馅饼。自三月份刑法新条例出台、政府部门对病毒木马编写以及黑客行为加大打击后，不法黑客的生意越来越难做，突然出现这种有助降低犯罪技术门槛的安全事件，他们绝不会愿意放过。目前，“Delphi梦魇”（Win32.Induc.b.820224）的源代码已经在网络中完全公布流传，金山毒霸反病毒工程师认为，无法排除国内病毒作者对其进行改造、进化的可能。如果他们对该毒加入下载木马、盗号等恶意行为指令，很难说会DIY出怎样的猛毒。

　　安全方案

　　值得庆幸的是，金山毒霸已经出台了针对“Delphi梦魇”（Win32.Induc.b.820224）的解决方案，用户只需使用金山毒霸2009并升级到最新版本，然后全盘扫描，即可清除该毒和已被它感染的delphi程序。而更详尽彻底的解决方案，请大家留意金山毒霸随后即将放出的“Delphi梦魇”专杀工具。

　　另外，对习惯手动解决问题的Delphi程序员，我们需要提醒一下，这个病毒具有二次感染能力，也就是说原来你编译出来的所有Delphi程序都可以再次感染你机器上的Delphi库文件，如果使用自己编写的查杀工具，请一定要检查你所写出的工具是否也含毒，否则将陷入一个死循环。

　　金山毒霸反病毒工程师建议，要彻底清除该病毒，需做到以下几点：

　　1、使用杀软扫描所有的Delphi编写的可执行文件并清除病毒。（或直接删除所有Delphi编写的可执行文件，包括从网上下载的）

　　2、将文件%DelphiInstallPath%LibSysConst.dcu删掉，然后执行步骤4或步骤5和6。

　　3、将文件%DelphiInstallPath%LibSysConst.bak改名为SysConst.dcu，结束。

　　4、调用DCC32.exe编译出新的SysConst.dcu，编译命令如下：%DelphiInstallPath%inDCC32.exe”%DelphiInstallPath%\SourceRtlSysSysConst.pas”

　　5、将新编译的SysConst.dcu（在%DelphiInstallPath%\SourceRtlSys目录下）文件复制到%DelphiInstallPath%Lib目录，结束。

　　6、使用金山毒霸2009并升级到最新版本全盘扫描清除已经被感染的delphi程序。