卡巴截获专门感染Delphi所编译程序的病毒

　　卡巴斯基实验室宣布近期检测到一种名为Virus.Win32.Induc.a的病毒，该病毒会通过CodeGearDelphi的集成软件开发环境系统进行传播。目前，卡巴斯基实验室的所有产品已经具备查杀该病毒的能力。

　　Virus.Win32.Induc.a病毒利用了Delphi开发环境创建可执行文件时所采用的二步过程机制。首先，源代码被编译成中间.dcu文件（Delphi已编译单元文件），然后这些中间.dcu文件会被关联用于创建最终的Windows可执行文件。

　　新发现的这种病毒会在被感染程序运行时被激活。激活后，病毒会检查计算机上是否安装了Delphi开发环境系统，检查的版本包括4.0,5.0,6.0以及7.0。一旦发现安装了Delphi，Virus.Win32.Induc.a病毒会对Delphi源文件Sysconst.pas进行编译，生成一个修改过的名为Sysconst.dcu的编译文件。

　　几乎所有的Delphi项目都包含“useSysConst”这一行代码，这意味着即使病毒只感染一个系统模块，最终也将导致开发环境中所有的程序被感染。换句话说，被修改的SysConst.dcu文件会导致所有在已被感染的环境下开发的子程序中包含病毒代码，而被修改的.pas文件则会被删除，因为它已经没有任何用途。

　　目前，Virus.Win32.Induc.a病毒似乎还不构成威胁，尽管其具有传染性，但并未表现出其他恶意攻击行为（payload）。很可能，此病毒只是用来演示和测试这种新的病毒感染方式。虽然此病毒并不具备毁灭性的攻击行为（payload），但它已经感染个多个版本的常见即时通讯客户端QIP，再加上其通过软件开发程序所使用的.dcu文件进行感染的非同寻常的感染方式，使得此病毒已在全球广泛传播。我们预测，网络罪犯很可能会在将来重拾此病毒，并将其改进，使其具有更强的破坏性。

　　卡巴斯基实验室的所有产品已经可以成功查杀Virus.Win32.Induc.a病毒，其中包括已编译的Delphi文件以及Windows可执行文件。