Новости для программистов подгружаются..
Модераторы: Snowy, bems, THandle, Rrader
  

Поиск:

Закрытая темаСоздание новой темы Создание опроса
> Delphi-“вирус”: проверьте свою установленную Delph, Delphi-“вирус”: проверьте свою установле 
:(
    Опции темы
Теги: нет
vovk
Дата 13.8.2009, 09:44 (ссылка) | (голосов:3) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 138
Друзей: 0; Групп: 0
Регистрация: 28.2.2008

Репутация: нет
Всего: 5
Delphi-“вирус”: проверьте свою установленную Delphi!

Цитата

Сегодня обнаружил довольно интересную вредоносную бяку, специфичную именно для Delphi. Это весьма простой, написанный на Delphi, саморазмножающийся код, который иначе как “вирусом” назвать нельзя. Особенность его в том, что он поражает только установленные Delphi версий 4-7 (включительно), так что любая программа, скомпилированная в “поражённых” Delphi, будет содержать в себе копию этого вредоносного кода и заражать любые другие найденные Delphi. 

Для тех, кто не сильно хочет вникать в детали, вот краткая выдержка (окей, я просто адаптировал объявление с DK):

Суть кода в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некторые версии популярного мессенджера QIP и проигрывателя AIMP оказались заражены им (команды разработчиков приносят за это свои извинения). 

Пока единственный обнаруженный вредный эффект от вируса - это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x - от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значение ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса.

Проверьте свои установки Delphi (версий с 4 по 7 включительно) и, если найдёте у себя SysConst.bak, выполните следующие действия:
Удалите SysConst.dcu
Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске - это убережёт систему от повторного заражения, т.к. вирус не производит заражения, если находит SysConst.bak, считая, что свою работу он уже выполнил.


источник тут

Это сообщение отредактировал(а) vovk - 13.8.2009, 10:36
PM MAIL   Вверх
Yanis
Дата 13.8.2009, 10:07 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Участник Клуба
Сообщений: 2931
Друзей: 0; Групп: 0
Регистрация: 9.2.2004
Где: Москва

Репутация: 72
Всего: 110
Ещё одно обсуждение и дополнительные ссылки на хабрахабре.

Я проверил — у меня нет такого чуда smile


--------------------
user posted image *щёлк*
PM MAIL WWW ICQ   Вверх
Alexeis
Дата 13.8.2009, 10:19 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Амеба
Group Icon


Профиль
Группа: Админ
Сообщений: 10337
Друзей: 32; Групп: 2
Регистрация: 12.10.2005
Где: Молдова, Кишинев

Репутация: 100
Всего: 403
  Скиньте образец виря, нада отправить в лабораторию антивируса, чтобы в последствии не иметь проблем.


--------------------
Vit вечная память.

Обсуждение действий администрации форума производятся только в этом форуме

гениальность идеи состоит в том, что ее невозможно придумать
PM ICQ Skype   Вверх
Yanis
Дата 13.8.2009, 10:23 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Участник Клуба
Сообщений: 2931
Друзей: 0; Групп: 0
Регистрация: 9.2.2004
Где: Москва

Репутация: 72
Всего: 110
Цитата(Alexeis @  13.8.2009,  11:19 Найти цитируемый пост)
Скиньте образец виря, нада отправить в лабораторию антивируса, чтобы в последствии не иметь проблем. 

http://gunsmoker.blogspot.com/2009/08/delp...254699935838847

Добавлено через 1 минуту и 32 секунды
Там нечего детектить-то. Поведение вполне тривиальное, не вирусное — обычные операции с файлами.


--------------------
user posted image *щёлк*
PM MAIL WWW ICQ   Вверх
Alexeis
Дата 13.8.2009, 10:37 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Амеба
Group Icon


Профиль
Группа: Админ
Сообщений: 10337
Друзей: 32; Групп: 2
Регистрация: 12.10.2005
Где: Молдова, Кишинев

Репутация: 100
Всего: 403
Цитата(Yanis @  13.8.2009,  09:07 Найти цитируемый пост)
Я проверил — у меня нет такого чуда

  Проверил чудо есть тока квип тут ни при чем. Скачал с сайта указанную версию, так она ничего не меняет.


--------------------
Vit вечная память.

Обсуждение действий администрации форума производятся только в этом форуме

гениальность идеи состоит в том, что ее невозможно придумать
PM ICQ Skype   Вверх
CodeMonkey
Дата 13.8.2009, 10:44 (ссылка) | (голосов:1) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1340
Друзей: 2; Групп: 1
Регистрация: 24.6.2008
Где: Россия, Тверь

Репутация: 29
Всего: 65
Цитата(Alexeis @  13.8.2009,  10:37 Найти цитируемый пост)
Скачал с сайта указанную версию, так она ничего не меняет.

Возможно, что уже поправили.
Хотя лучше бы версию сменили бы.


--------------------
Опытный программист на C++ легко решает любые не существующие в Паскале проблемы.
PM MAIL WWW ICQ Skype GTalk Jabber   Вверх
CodeMonkey
Дата 13.8.2009, 16:32 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1340
Друзей: 2; Групп: 1
Регистрация: 24.6.2008
Где: Россия, Тверь

Репутация: 29
Всего: 65
Добавил в блог голосование. Кому не сильно лень - просьба отметиться smile Любопытно узнать степень распространения.


--------------------
Опытный программист на C++ легко решает любые не существующие в Паскале проблемы.
PM MAIL WWW ICQ Skype GTalk Jabber   Вверх
Akella
Дата 13.8.2009, 17:04 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Ситхи не пройдут
****


Профиль
Группа: Комодератор
Сообщений: 13830
Друзей: 20; Групп: 5
Регистрация: 14.5.2003
Где: Корусант

Репутация: 25
Всего: 243
А почему нет варианта, что несоответствующая версия дельфи?

Добавлено через 49 секунд
http://devnews.ru/2009/08/13/virus-porazha...phi-versij-4-7/


--------------------
мы не в ответе за тех, кого приручили
PM MAIL WWW   Вверх
RockClimber
Дата 13.8.2009, 17:13 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 747
Друзей: 0; Групп: 0
Регистрация: 5.5.2006
Где: планета 013 в тен туре

Репутация: нет
Всего: 14
На Lazarus сия бяка не распространяется, надеюсь?  smile А то ведь неизвестно же, какого уровня совместимости удалось добиться разработчикам...  smile 


--------------------
Хорошо кинутый дятел далеко летит, крепко встревает, долго торчит.
PM MAIL GTalk   Вверх
Romikgy
Дата 13.8.2009, 18:11 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Любитель-программер
****


Профиль
Группа: Участник Клуба
Сообщений: 6602
Друзей: 12; Групп: 1
Регистрация: 11.5.2005
Где: Ukraine.Odessa

Репутация: 24
Всего: 124
у мя 5 августа первый ехе имеет внутри себя кусок нехорошего кода....
откель интересно источник пошел ?


--------------------
Владение русской орфографией это как владение кунг-фу — истинные мастера не применяют его без надобности. 
smile
PM   Вверх
Keeper89
Дата 13.8.2009, 19:41 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Информатик-экономист
***


Профиль
Группа: Завсегдатай
Сообщений: 1794
Друзей: 2; Групп: 1
Регистрация: 26.2.2009

Репутация: 16
Всего: 46
У меня вроде нет нигде, проверил на
Цитата

CreateFile(pchar(d+$bak$),0,0,0,3,0,0)

в стандартном поиске.
Пронесло..? smile

Это сообщение отредактировал(а) Keeper89 - 13.8.2009, 19:44


--------------------
Cogito, ergo sum

Keeper's blog
CnWizards 0.9.7.586 RC1

user posted image
PM MAIL WWW   Вверх
Alexeis
Дата 13.8.2009, 19:41 (ссылка) | (голосов:1) Загрузка ... Загрузка ... Быстрая цитата Цитата


Амеба
Group Icon


Профиль
Группа: Админ
Сообщений: 10337
Друзей: 32; Групп: 2
Регистрация: 12.10.2005
Где: Молдова, Кишинев

Репутация: 100
Всего: 403
Цитата(Romikgy @  13.8.2009,  17:11 Найти цитируемый пост)
откель интересно источник пошел ? 

  Верятно все же от квипа. Что еще могло быть таким массовым?


--------------------
Vit вечная память.

Обсуждение действий администрации форума производятся только в этом форуме

гениальность идеи состоит в том, что ее невозможно придумать
PM ICQ Skype   Вверх
Romikgy
Дата 13.8.2009, 21:46 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Любитель-программер
****


Профиль
Группа: Участник Клуба
Сообщений: 6602
Друзей: 12; Групп: 1
Регистрация: 11.5.2005
Где: Ukraine.Odessa

Репутация: 24
Всего: 124
Можен кому поможет 
софт для отключения запуска не нужного кода

Добавлено через 6 минут и 29 секунд
также пофиксеный квип 8094 (встроили проверку целостности файла  smile )
http://rapidshare.de/files/48108799/qip8094fixed.rar.html

Присоединённый файл ( Кол-во скачиваний: 12 )
Присоединённый файл  RemoverCode.rar 42,80 Kb


--------------------
Владение русской орфографией это как владение кунг-фу — истинные мастера не применяют его без надобности. 
smile
PM   Вверх
CodeMonkey
Дата 14.8.2009, 08:55 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1340
Друзей: 2; Групп: 1
Регистрация: 24.6.2008
Где: Россия, Тверь

Репутация: 29
Всего: 65
Цитата(Alexeis @  13.8.2009,  19:41 Найти цитируемый пост)
 Верятно все же от квипа.

Что ещё могло быть столь массовым, что заразило машину для сборок квипа?  smile 


--------------------
Опытный программист на C++ легко решает любые не существующие в Паскале проблемы.
PM MAIL WWW ICQ Skype GTalk Jabber   Вверх
CodeMonkey
Дата 23.8.2009, 17:37 (ссылка) | (голосов:1) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1340
Друзей: 2; Групп: 1
Регистрация: 24.6.2008
Где: Россия, Тверь

Репутация: 29
Всего: 65
Virus.Win32.Induc.a: энцать дней спустя - собранная в кучу информация по Virus.Win32.Induc.a.


--------------------
Опытный программист на C++ легко решает любые не существующие в Паскале проблемы.
PM MAIL WWW ICQ Skype GTalk Jabber   Вверх
Google
  Дата 2.9.2010, 22:41 (ссылка)  





  Вверх
  
 Закрытая темаСоздание новой темы Создание опроса
Правила форума "Delphi: Общие вопросы"
Snowy THandle
Rrader bems

Запрещается!

1. Публиковать ссылки на вскрытые компоненты

2. Обсуждать взлом компонентов и делиться вскрытыми компонентами

  • Литературу по Дельфи обсуждаем здесь
  • Действия модераторов можно обсудить здесь
  • С просьбами о написании курсовой, реферата и т.п. обращаться сюда
  • Вопросы по реализации алгоритмов рассматриваются здесь
  • 90% ответов на свои вопросы можно найти в DRKB (Delphi Russian Knowledge Base) - крупнейшем в рунете сборнике материалов по Дельфи

Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, Snowy, THandle, Rrader, bems
 
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | Delphi: Общие вопросы | Следующая тема »

Подписаться на тему | Подписка на этот форум | Скачать/Распечатать тему


 


Rambler's Top100

[ Время генерации скрипта: 0.4083 ]   [ Использовано запросов: 38 ]   [ GZIP включён ]


Реклама на сайте

 
 По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Хостинг: Vingrad Hosting     Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.