[转帖]发现感染DELPHI的病毒 - 流星无语

在DELPHI盒子与DELPHI群里看到的，据说只感染DELPHI7以下的版本（包含DELPHI7)，貌似Ｎ多人中招了。感染此病毒后，所有用DELPHI编译的程序全都有感染能力。

如果在 C:\Program Files\Borland\Delphi7\Lib 发现有 SysConst.bak (12KB) 和
SysConst.dcu (18KB)，那么恭喜你，中招了。

该病毒没有exe或者dll的毒源体，因为自 SysConst.dcu 被置换的一刻开始，你已经是毒源体的创造者，该病毒原来早在 2005 年已经被发现，一个软件 QIP 2005 build 8094 中就曾经染毒，然后扩散看来，该病毒代码简单看来并没有伤害性，但是它完全是一个病毒的形态，不知道哪天会被利用的，那个俄罗斯高人把这个病毒分析出了源代码，并且提出了一个切实可行的解决方法，根据该病毒的特性，第一时间就是要把 Lib 中的 sysconst.bak 复制一份改名为 sysconst.dcu，注意，是复制而不是直接改名，因为如果你的系统还有潜在威胁的时候，如果还是有 sysconst.bak 在，那么这个病毒会认为它的工作已经完成而不会去动你的原版 sysconst.dcu，然后你要把你所有的项目重新编译，因为他们都已经染毒了。最好是做一下全盘检查。
BTW: 为什么一个 2005 年的“病毒”到了今天仍然还有那么多杀毒软件不报呢，因为从代码上来说，它的破坏性并没有，但是它的确拥有了病毒的特性。

怎样才知道中招了？

文件: C:\Program Files\Borland\Delphi7\Lib\sysconst.bak
大小: 11658 字节
修改时间: 2002年8月9日, 22:00:00
MD5: 957D629F2E4C38B9FA2AC911E352FC82
SHA1: 859EFAF4C24AF89E2B06922912D1081BAD349E7C
CRC32: 004EBB9D

文件: C:\Program Files\Borland\Delphi7\Lib\sysconst.dcu
大小: 18207 字节
修改时间: 2002年8月9日, 22:00:00
MD5: 89DD28E7C1EAEAE1793D9354E7C38D21
SHA1: F7EF5B9C3C85FF01299556C5546CAD511CA9F5A8