델파이 바이러스 백신 및 체크방법

델파이 바이러스 백신 및 체크방법

 

Options 설명

Scan only executables

exe, dll, ocx 처럼 실행파일만을 검사한다.

 

 

 

Scan only files who seem to be delphi compiled
(detection could fail)

델파이컴파일러로 컴파일 된 것만 검사하므로

만약 다른 것으로 컴파일된거라면 검사에서 제외된다.

 

 

 

Unpack UPX packed files if possible

실행파일 사이즈를 줄이기 위해 UPX을 사용했다면

압축을 풀고 검사를 해야하므로 이부분을 체크 바랍니다.

 

 

 

Create Backup (in case disinfection fails)

혹시나 문제가 생길것을 대비하여 *.bak 형태의 백업파일을 만듭니다.

만약 이 크리너를 실행후 프로그램이 미작동시 백업파일로 복구할 수 있습니다.

 

 

 

Recursive scan

하위 폴더까지 검사합니다.

 

 

 

 

델파이 바이러스 체크방법

기존에 논란이 되었었지만, 아직도 본인은 아니겠지라고 생각하면서 

그냥 지나치신 분들이 있는 것 같습니다.

 

피씨의 Delphi 4, 5, 6, 7이 설치된 디렉토리에서

sysconst.bak 파일이 있는지 검사해서 있다면 감염된 것입니다.

 

sysconst.bak 파일이 존재하는 경우, 즉 감염된 경우에는

원래의 원본 sysconst.dcu 파일이 확장자가 .bak으로 리네임된 것이고

sysconst.dcu 이름의 파일이 감염된 파일입니다.

 

따라서 sysconst.dcu 파일을 삭제한 후 sysconst.bak 파일의 확장자를

dcu로 변경해주기만 하면 됩니다.

 

그리고 본인이 만든 바이너리의 바이러스 감염 여부는 

바이러스 토탈에 파일을 올려서 확인해보시구요.

http://www.virustotal.com/ko/

​

참고로 백신사 중 대여섯개는 오탐이 있을 수 있으니

주요백신에서 탐지하는지를 보세요.

 

일단 백신이 오탐을 하는 것에 너무 신경을 쓰실 필요는 없구요.

 

이게 왜 이렇게 되나 한번 생각해보니

외국쪽, 특히 중국쪽에서 바이러스나 악성코드 만들때에

대부분 델파이로 만들어진 경우가 많았습니다.

그래서 시그니처가 꼬인게 아닌가 싶네요.

 

그리고 명확하게 하셔야 할 점은 최근 왠만한 업체들은

백신들의 오탐율 때문에 문제가 되고 있긴 합니다.

 

그런데 이런식으로 개발툴을 대상으로

오탐을 지속적으로 내는 경우는 없습니다.

​

개발툴과 관련이 되었다고 해서 델파이 바이러스라는

표현은 절대로 쓰면 안됩니다.

(개발을 모르는 사람입장에서 엄청난 혼란을 줄 수 있음)

 

왜냐면 가장많은 바이러스를 제작할때 쓰이는

툴은 Visual Studio인데,

그렇다고 해서 바이러스 나올때마다

비쥬얼 스튜디오 바이러스라는 표현은 안쓰기 때문입니다.

 

 

 

해결책

피씨의 Delphi 4, 5, 6, 7이 설치된 디렉토리에서

sysconst.bak 파일이 있는지 검사해서 있다면 감염된 것입니다.

sysconst.bak 파일이 존재하는 경우,

즉 감염된 경우에는 원래의 원본 sysconst.dcu 파일이

확장자가 .bak으로 리네임된 것이고 sysconst.dcu 이름의 파일이 감염된 파일입니다.

따라서 sysconst.dcu 파일을 삭제한 후 sysconst.bak 파일의 확장자를

dcu로 변경해주기만 하면 됩니다.

​