На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
! ПРАВИЛА РАЗДЕЛА · FAQ раздела Delphi · Книги по Delphi
Пожалуйста, выделяйте текст программы тегом [сode=pas] ... [/сode]. Для этого используйте кнопку [code=pas] в форме ответа или комбобокс, если нужно вставить код на языке, отличном от Дельфи/Паскаля.
Следующие вопросы задаются очень часто, подробно разобраны в FAQ и, поэтому, будут безжалостно удаляться:
1. Преобразовать переменную типа String в тип PChar (PAnsiChar)
2. Как "свернуть" программу в трей.
3. Как "скрыться" от Ctrl + Alt + Del (заблокировать их и т.п.)
4. Как прочитать список файлов, поддиректорий в директории?
5. Как запустить программу/файл?
... (продолжение следует) ...

Вопросы, подробно описанные во встроенной справочной системе Delphi, не несут полезной тематической нагрузки, поэтому будут удаляться.
Запрещается создавать темы с просьбой выполнить какую-то работу за автора темы. Форум является средством общения и общего поиска решения. Вашу работу за Вас никто выполнять не будет.


Внимание
Попытки открытия обсуждений реализации вредоносного ПО, включая различные интерпретации спам-ботов, наказывается предупреждением на 30 дней.
Повторная попытка - 60 дней. Последующие попытки бан.
Мат в разделе - бан на три месяца...
Модераторы: jack128, D[u]fa, Shaggy, Rouse_
  
> Delphi-“вирус”: проверьте свою установленную Delphi! , Д4-Д7
      прикрепил бы темку :)
        да реальный вирус ... вот и пользуйся QIP - проще свой аналог написать ... ;)
          Цитата andrew.virus @
          вот и пользуйся QIP


          Тогда уж:
          Цитата andrew.virus @
          вот и пользуйся Delphi-программами


          А если появятся аналоги, то:
          Цитата andrew.virus @
          вот и пользуйся программами


          ;)
            ура
              а я то думаю почему квип гуратся начал. но как то лениво было ковырять это дело. но так как под вистой сижу да и 2007 делфя стоит то не сильно расстроился.

              ну этаж надо было придумать...
                Цитата P.O.D @
                ура

                У нас есть свой вирус!!!!® Откровения линуксоидов. :D
                  Дома Vista и Delphi нет вообще, а вот на работе оказалось у всех. :'(
                    Эээ... у меня стоит вирус Турбо Делфи и в папке Либ есть такие файлы

                    dbrtl.dcp.bak
                    InvokeRegistry.dcu.bak
                    OPToSOAPDomConv.dcu.bak
                    soaprtl.dcp.bak
                    TypeTrans.dcu.bak
                    WebServExp.dcu.bak

                    Также пользуюсь КИПом 2.0.9024 РЦэ4

                    Блин, страшно как-то... Вдруг это сверхсовершенная модификация Т-2009!

                    Добавлено
                    Вспомнил один случай. Полторагода назад писал сетевую утилиту на KOL еще в седьмушке. В самом начале писания кода сделал билд и как хлабысь - Каспер сработал на мою прогу. И так несколько раз. Когда чуть-чуть добавил кода перестал.
                      Добавил в блог голосование. Кому не сильно лениво - просьба отметиться ;)

                      Цитата osmiy74 @
                      Блин, страшно как-то... Вдруг это сверхсовершенная модификация Т-2009!

                      Чтобы определить точно - поищите в файлах строчку "CreateFile(pchar(d+$bak$),0,0,0,3,0,0)" (без кавычек). Ну а самое надёжное - сравнить с дистрибутивом, конечно же.
                        Да проверил уже. Т-2009 так легко не обнаружится. Удалил я эти файлы и перезапустил все дэлфи-проги (включая КИП) - обратно они не появились. Должно быть Т-2009 это очень коварная модификация.
                          Наврятли модификация, в цикле идет поиск в реестре с 4 по 7 версии Делфи.
                          Давно установил 7 Делфи по минимуму только с dcu файлами, поэтому можно не волноваться об изменении pas файла с компиляцией вредоносного кода в dcu... :lol:
                            Цитата medved_68 @
                            У нас есть свой вирус!!!!

                            кстати способ позволяет определять какой месенджер ICQ использует пользователь - только QIP дает такой результат ... :lol:
                              плеер AIMP дает такой результат. Любая прога собранная в завирусованной дельфи дает такой результат, а если посещать местный раздел "Потестите мою программу" то есть большая вероятность получить гадость :)
                                Цитата CodeMonkey @
                                Добавил в блог голосование. Кому не сильно лениво - просьба отметиться

                                Отметился. Все чисто, вируса нет. Д7 и ХР, правда я лет восемь не работаю под админом (одна из рекомендаций, данных в блоге). :D
                                  Virus.Win32.Induc.a: энцать дней спустя - собранная в кучу информация по Virus.Win32.Induc.a.
                                    а если зараженная делфи прога была какой нить защитой закриптована то ее антивирус скорее всего не найдет...
                                      Цитата Frees @
                                      а если зараженная делфи прога была какой нить защитой закриптована то ее антивирус скорее всего не найдет...

                                      скорее найдет :yes:
                                        ...ну, это от анти-вируса, наверное, зависит-то...
                                          У меня такой вопрос, если этот dcu-шный файл сделать "только для чтения", то вирусом он заражен не будет? Ведь имхо дельфийские программы при попытке записи в файлы с атрибутом "read only" выдают ошибку.
                                            Нет, это не поможет, т.к. вирус не изменяет файлы - он просто переименовывает его и создаёт новый. Никакой атрибут помешать этому не в состоянии.
                                              зато у нас есть ntfs...
                                                Это да. Но если вам попадётся инфицированный установщик (а установщик в 99% случаев запускается под админом), то туши свет. Автор вируса вполне может предусмотреть вариант нехватки прав и форсированно их давать, будучи запущенным под админом.
                                                  Но ничтожно малое количество установщиков будет накрыто протекторами/упаковщиками (в этом нет смысла) посему они будут своевременно распознаватся антивырем.

                                                  Добавлено
                                                  и почему только 4-7 версии. 2005 и выше существуют довольно давно.
                                                  с этого складывается мнение что либо создатель никогда не использовал другие версии (посему он не знает как устроено в других версиях)
                                                  либо вирус был написан намеренно что бы разработчики начали перебирается на более современный версии
                                                  Скрытый текст
                                                  (и тут даже можно продолжить мысль кто, но лучше промолчать).
                                                    Цитата ViktorXP @
                                                    они будут своевременно распознаватся антивырем

                                                    А разве Virus.Win32.Induc.a был своевременно опознан хоть кем-то? С моей точки зрения он устроил эпидемию. Причём ого-го какую (в рамках Delphi-сообщества).
                                                      насчет эпидемии я бы поспорил. у меня был зараженный квип, но не более того. и не у одного моего знакомого не было вируса. даже квипа зараженного (так как им было лень качать обновление) (и мне было лень, но так получилось что под рукой дистрибутива не было, а интернет был )) )
                                                        А чего тут спорить-то? Это факт. Я, вот, к примеру, был чист. Но это никак не отменяет того факта, что толпа народу была инфицирована.
                                                        Да и чёрт с ней. Смысл в том, что анти-вирус не опознает следующий вирус подобного плана. Защищаться (ну и бояться) нужно, конечно же, не "индюка", а его модификацию. Надеяться на то, что их будет отлавливать анти-вирус... ну, вот вам Virus.Win32.Induc.a убедительно показал во что выливается такая вера. В инфицированные QIP, AIMP, плагины тотала и миранды, банковский софт, трояны, диски журналов и куча другого софта.
                                                        Может я и перегибаю палку, но не очень хочется, чтобы после того, как все поорали "на тему", всё вернулось на круги своя без изменений. Тогда ничто не помешает создать и с такой же лёгкостью распространять вирус с куда более серьёзной полезной нагрузкой.
                                                        Сообщение отредактировано: CodeMonkey -
                                                          а если вирус с серьезной боевой нагрузкой и для любой делфи уже написан и начал свой путь...

                                                          подобный вирус я пологаю может и не только через делфи ходить но и другие среды разработки

                                                          панацея одна поставить делфи заного и посчитать контрольные суммы pas файлов
                                                            Цитата
                                                            панацея одна поставить делфи заного и посчитать контрольные суммы pas файлов

                                                            дату изменения просто посмотреть, я посмотрел и выставил RO для каталога с дельфей, без возможности удаления, переименования, создания файлов и папок. На дельфи не ставлю никаких компонентов, есть руки написать свои или создавать их "runtime".
                                                              Цитата Frees @
                                                              посчитать контрольные суммы pas файлов

                                                              А dcu?
                                                              Достаточно просто сравнить каталоги \Lib и \Source с дистрибутивными любой сравнивалкой каталогов. Благо в старых версиях они лежат на CD "как есть", без упаковки.

                                                              Цитата antonn @
                                                              выставил RO для каталога с дельфей

                                                              Атрибут read-only на папку не означает невозможности её изменения.
                                                                Цитата CodeMonkey @
                                                                Цитата (antonn @ Сегодня, 10:54)
                                                                выставил RO для каталога с дельфей

                                                                Атрибут read-only на папку не означает невозможности её изменения.

                                                                Если раздать права не через свойство а через права ntfs-а то еще как возможно (по ссылке не ходил)

                                                                Добавлено
                                                                В висте (и выше) можно востанавливать предыдущие версии файлов. а значит как-то можно и узнать какой файл имеет старые версии.
                                                                  Цитата CodeMonkey @
                                                                  Достаточно просто сравнить каталоги \Lib и \Source с дистрибутивными любой сравнивалкой каталогов. Благо в старых версиях они лежат на CD "как есть", без упаковки.


                                                                  Эмн... А как быть, если я Update-ов понаставила, как собак нерезанных ? :)
                                                                    CodeMonkey
                                                                    Цитата
                                                                    Атрибут read-only на папку не означает невозможности её изменения.

                                                                    Delphi-“вирус”: проверьте свою установленную Delphi! (сообщение #2346091)
                                                                      Цитата ViktorXP @
                                                                      В висте (и выше) можно востанавливать предыдущие версии файлов. а значит как-то можно и узнать какой файл имеет старые версии.

                                                                      А как? У меня Виста, но я не в курсе.

                                                                      Цитата Riply @
                                                                      Эмн... А как быть, если я Update-ов понаставила, как собак нерезанных ?

                                                                      Заранее сделать копию и заныкать в потайном месте. Перед сборкой программы для отправки заказчику/на сайт сделать сравнение нычки и установленной Delphi.
                                                                        antonn, если вирус стартовал с правами админа, то никакие NTFS не спасают.
                                                                        Ему, всего-то навсего, достаточно иметь прямой доступ к диску и становится плевать
                                                                        на все секюрити, защиты и запреты :(
                                                                          Цитата Riply @
                                                                          antonn, если вирус стартовал с правами админа, то никакие NTFS не спасают.
                                                                          Ему, всего-то навсего, достаточно иметь прямой доступ к диску и становится плевать
                                                                          на все секюрити, защиты и запреты

                                                                          вот как раз таки и облом ему произойдет. ntfs-у на права админа плевать. пока админ себе не дас доступ он даже в папку не сможет зайти.
                                                                          (по крайне мере в висте так работает. а вот насчет xp я не помню так как никогда в ней таким не страдал)
                                                                          но это нужно будет вирус научить ставить себе права на папку )))) (а вот тут вирус может разгуляется так как никто ему это не запретит из под админа)
                                                                          пс. но это если предварительно убраны все нежелательные права

                                                                          Цитата CodeMonkey @
                                                                          А как? У меня Виста, но я не в курсе.

                                                                          Когда береш файл на свойства там есть доп вкладка в которой все версии файлов если ее нет то нужно убрать птичку насчет "отображать простой вид.... и тд"
                                                                          (хотя кажись она есть всегда но на все 100 не уверен)
                                                                            Цитата ViktorXP @
                                                                            вот как раз таки и облом ему произойдет. ntfs-у на права админа плевать. пока админ себе не дас доступ он даже в папку не сможет зайти.
                                                                            (по крайне мере в висте так работает. а вот насчет xp я не помню так как никогда в ней таким не страдал)
                                                                            но это нужно будет вирус научить ставить себе права на папку ))))
                                                                            пс. но это если предварительно убраны все нежелательные права


                                                                            При прямом доступе к диску, плевать на все права, т.к. не надо открывать
                                                                            конкретную папку(файл) как объект - вся работа идет через MFT.

                                                                            Проверяла под XP - все без исключения читается(пишется) вне зависимости
                                                                            от владельцев, прав и настроек.
                                                                            Под Win7 проверяла только чтение - та же самая ситуация.
                                                                            (До проверки записи (под Win7) руки еще не дошли)
                                                                            Сообщение отредактировано: Riply -
                                                                              Ну если навпрямую к диску то да. но вирус тогда придется по тяжелее писать нюансов много возникнет (файловые системы могут быть разными)
                                                                                ViktorXP, меня пугает, что алгоритм вируса опубликован.
                                                                                Реализация его новой модификации не составит никакого труда,
                                                                                и ее опасность и возможности будут зависеть только от автора и его уровня.

                                                                                На антивирусы, в плане защиты от таких модификаций надежды мало :(

                                                                                Вывод: надо писать собственную Delphi_вирус_находилку :)
                                                                                  Riply от подобных поделок этого хватит, а потенциал такой штуки велики, согласен :)
                                                                                    Цитата Riply @
                                                                                    ViktorXP, меня пугает, что алгоритм вируса опубликован.
                                                                                    Реализация его новой модификации не составит никакого труда,
                                                                                    и ее опасность и возможности будут зависеть только от автора и его уровня.

                                                                                    такие же мыли посещали. :yes-sad:

                                                                                    Цитата Riply @
                                                                                    На антивирусы, в плане защиты от таких модификаций надежды мало

                                                                                    ну почему?. ставишь антивырь а он тебе: "у вас обнаружено 4 'студии для программирования'. найдены директории зашифрованы рандомным 512 битным ключиком, а сам ключ выброшен. с любовью антивырь"
                                                                                      ViktorXP
                                                                                      Цитата
                                                                                      ну почему?. ставишь антивырь а он тебе: "у вас обнаружено 4 'студии для программирования'. найдены директории зашифрованы рандомным 512 битным ключиком"

                                                                                      а сторонние компоненты?
                                                                                        Цитата ViktorXP @
                                                                                        ну почему?

                                                                                        Есть подозрение, потому что в отличие от обычных вирусов, подобные "индюку" вирусы находятся в программах "by design", т.е. это не "как-бы инфицированная программа", а скорее "просто программа", которая, ну так уж написал программист, лезет в реестр и меняет файлики. Она не делает ничего из того, что делают обычные вирусы, она не инфицирует файлы.
                                                                                        Сообщение отредактировано: CodeMonkey -
                                                                                          Цитата antonn @
                                                                                          а сторонние компоненты?

                                                                                          ну во первых я не бросаю сторонние компоненты в папки делфи.
                                                                                          во вторых я не думаю что делфя вообще будет работать при таком раскладе )))


                                                                                          только что подумал. а это идея!
                                                                                          механизм такой.
                                                                                          заходим из под админ прав и на папку режим всем права. кроме админа. ему только на чтение.
                                                                                          а своему юзеру на время полный. шифруем все из под юзера. (при этом ключ нужно будет сохранить где нибудь как резерв)
                                                                                          потом заходим опять из админа и режим нашему пользователю папку до прав только на чтение.

                                                                                          у админа естественно будут права только на чтение. у юзера тоже. при этом все будет работать.

                                                                                          а если вырю захочется с диском поговорить... так пожалуйста. в лудшем случае он сможет только найти файл, но так как файл шифрован то он не сможет ему ничего добавить. хотя если в каталоге перенаправить в другое мето....
                                                                                            Цитата ViktorXP @
                                                                                            ntfs-у на права админа плевать

                                                                                            Кстати, никто не запрещает админу сменить владельца и изменить права. Не верите? Проверьте. Кроме того, админ может получить право на бэкап или обход перекрёстной проверки, что отменяет проверки ACL-списками. Короче говоря, если ты админ, то есть куча простых способов обхода проверок (иначе ты не был бы админом) - вовсе не обязательно заморачиваться с прямым доступом (хотя это и тоже вариант).

                                                                                            Добавлено
                                                                                            Цитата ViktorXP @
                                                                                            а своему юзеру на время полный. шифруем все из под юзера.

                                                                                            Эээ... вообще-то вы изобрели велосипед. Это делается установкой галки "Шифрование" ;) Только надо понимать, что никто кроме вас тогда Delphi не воспользуется (ну у него же нет вашего ключа).
                                                                                              Цитата
                                                                                              ну во первых я не бросаю сторонние компоненты в папки делфи.

                                                                                              да какая разница, дельфи где то хранит ведь настроки об всех своих и внешних компонентах :)
                                                                                                Цитата antonn @
                                                                                                да какая разница, дельфи где то хранит ведь настроки об всех своих и внешних компонентах

                                                                                                реестр
                                                                                                Цитата ViktorXP @
                                                                                                хотя если в каталоге перенаправить в другое мето....

                                                                                                плевать. самого файла у него не будет. а тягать копию всех версий делфи тоже никто не станет.

                                                                                                Добавлено
                                                                                                Цитата CodeMonkey @
                                                                                                Эээ... вообще-то вы изобрели велосипед. Это делается установкой галки "Шифрование" Только надо понимать, что никто кроме вас тогда Delphi не воспользуется (ну у него же нет вашего ключа).

                                                                                                ну так я и имел ввиду это шифрование.

                                                                                                Добавлено
                                                                                                Цитата CodeMonkey @
                                                                                                Только надо понимать, что никто кроме вас тогда Delphi не воспользуется (ну у него же нет вашего ключа)

                                                                                                если ты помнишь то мы сохраняли ключик резервный. в тех юзерах его импортируешь и все (ну и + им нужно папку на чтение дать.)
                                                                                                  Но это не применимо в широких масштабах (потому что самая реальная перспектива - это работа под UAC, т.е. ты и админ и пользователь, а от самого себя шифрование не будет работать).

                                                                                                  Ну и вообще-то у админа всегда есть возможность импортнуть ключ любого пользователя ;) Но это уже overkill как в плане защиты, так и нападения.

                                                                                                  Контроль модификации файлов любым ревизором - это просто и железобетонно.
                                                                                                    Цитата CodeMonkey @
                                                                                                    потому что самая реальная перспектива - это работа под UAC, т.е. ты и админ и пользователь

                                                                                                    надо им идейку подкинуть. если программа просит права админа чтобы была возможность контролировать куда она с этими правами лазит или настраивать программе что она может с ими делать (это было бы вообще здорово. хотя если я не ошибаюсь то программы подобные есть.)
                                                                                                      В принципе, 95% запусков под админом - это установщики программ. И если ты работаешь под админом и к тебе пришла бяка - то именно с инфицированного установщика.
                                                                                                      В идеале надо запускать установщики под "полуадмином". Т.е. он как-бы админ, но не имеет права менять уже существующие папки и файлы в Program Files (ну за исключением Common). Вроде как этого достаточно.

                                                                                                      Но хз, может и перебор. Ведь установщики практически никогда не компилируются в Delphi (даже если они на Delphi писаны), так что при даже работе под UAC можно спать относительно спокойно.
                                                                                                        ViktorXP
                                                                                                        Цитата
                                                                                                        реестр

                                                                                                        я знаю, что в реетре :)
                                                                                                        веду к тому, что мешает вирусу их прочтать, "сходить" в эти каталоги и поиздеваться над юнитами? В большинство юнитов вообще достаточно добавить в конец файла:
                                                                                                        ExpandedWrap disabled
                                                                                                          begin
                                                                                                          //удаляем все mp3 рекурсивно
                                                                                                          end.
                                                                                                          Цитата antonn @
                                                                                                          веду к тому, что мешает вирусу их прочтать, "сходить" в эти каталоги и поиздеваться над юнитами? В большинство юнитов вообще достаточно добавить в конец файла:

                                                                                                          ждем второй волны этого вируса
                                                                                                            Цитата antonn @
                                                                                                            мешает вирусу их прочтать, "сходить" в эти каталоги и поиздеваться над юнитами?

                                                                                                            Человеческая жадность.

                                                                                                            Вы же не используете все компоненты в каждом проекте?

                                                                                                            "Как так? Мой вирус и вдруг - не в каждой программе?" :D
                                                                                                              Цитата
                                                                                                              Вы же не используете все компоненты в каждом проекте?

                                                                                                              компоненты бывают разными
                                                                                                                Вирусу-то откуда знать, какими они бывают?
                                                                                                                  Цитата CodeMonkey @
                                                                                                                  А разве Virus.Win32.Induc.a был своевременно опознан хоть кем-то? С моей точки зрения он устроил эпидемию. Причём ого-го какую (в рамках Delphi-сообщества).
                                                                                                                  Только что обнаружил, что моя седьмушка заражена, даже не понял откуда. На нее срабатывае нод и все видимые признаки заражения.
                                                                                                                    Цитата Alexander N @
                                                                                                                    Только что обнаружил, что моя седьмушка заражена, даже не понял откуда. На нее срабатывае нод и все видимые признаки заражения.

                                                                                                                    а терь рассказывай что у тя за совт)) и кого он еще заразить мог?
                                                                                                                      CodeMonkey
                                                                                                                      Цитата
                                                                                                                      Вирусу-то откуда знать, какими они бывают?

                                                                                                                      например от создателя :)
                                                                                                                      я к тому, что есть сторонние компоненты очень распространенные.
                                                                                                                        Ну лично я просто не вижу смысла заражать компоненты, когда можно заражать Delphi. Или это в плане надеяться на то, что дельфисты ступят и защитят Delphi, но не компоненты? Дохлый номер, имхо.
                                                                                                                          Цитата CodeMonkey @
                                                                                                                          Вирусу-то откуда знать, какими они бывают?

                                                                                                                          а он с собой базу вех компонентов будет тягать. копию всех модулей на всякий случай. пол википедии (чтобы прочесть о том о чем он еще не знает)
                                                                                                                          ну и будет уметь с браузерами работать чтобы на форум какой нить зайти и посоветоватся.

                                                                                                                          в карантин Alexander N. изолировать под пытки временно.
                                                                                                                            Цитата Frees @
                                                                                                                            кого он еще заразить мог?
                                                                                                                            Кто пользуется моими прогами. Пока окромя меня никто. :yes:
                                                                                                                              а если написать эксперт для делфи который бы слидил за изменением dcu. или может уже есть ченить...

                                                                                                                              решения как защититься от аналогов такого вируса нигде не увидел
                                                                                                                                Цитата Frees @
                                                                                                                                а если написать эксперт для делфи который бы слидил за изменением dcu

                                                                                                                                Слухай, ты мне только что подал идею для реализации в EurekaLog! :D

                                                                                                                                А, чё, реально. 5 баллов! Добавлю как suggestion для 7-й версии.
                                                                                                                                Сообщение отредактировано: CodeMonkey -
                                                                                                                                  можно будет будет написать свой драйвер через который будет идти все обращение к диску и ему говорить какие директории будут на чтение. и если происходит их запись то выбросить сообщение пользователю а он уже решает что делать.

                                                                                                                                  и назло разработчику писать ее не на С++ или asm-е а на тройке делфи. чтобы разработчик лопнул от бешенства :D
                                                                                                                                    Цитата Frees @
                                                                                                                                    а если написать эксперт для делфи который бы слидил за изменением dcu. или может уже есть ченить...
                                                                                                                                    тоже такие мысли мелькали. Может сегодня даже чего-нибудь набросаю(как антивирем проверюсь).
                                                                                                                                      такой вопрос для того что бы вирус заработал нужно перекомилять dcu?
                                                                                                                                      тоесть нужен dcc32.exe
                                                                                                                                      без нее только изменится пас а компиляться будет с помощью старой dcu так?
                                                                                                                                      если переименовать dcc32.exe то не заразишся?

                                                                                                                                      или это не панацея
                                                                                                                                        Цитата Riply @
                                                                                                                                        ViktorXP, меня пугает, что алгоритм вируса опубликован.
                                                                                                                                        Реализация его новой модификации не составит никакого труда,
                                                                                                                                        и ее опасность и возможности будут зависеть только от автора и его уровня.

                                                                                                                                        На антивирусы, в плане защиты от таких модификаций надежды мало :(

                                                                                                                                        Вывод: надо писать собственную Delphi_вирус_находилку :)

                                                                                                                                        Ну и что к примеру злосчастный Win95.CIH - "чернобыль" давным давно в сорцах бродит по интернету в двух модификациях.
                                                                                                                                        И распространяется, как там было сказано "в ознакомительных целях". И ничего... пока в голову еще никому не дало его выпустить под NT... к тому же сейчас это не прокатит ввиду встроенной защиты в процессорах.
                                                                                                                                        Сообщение отредактировано: User32 -
                                                                                                                                          Цитата Frees @
                                                                                                                                          или это не панацея

                                                                                                                                          Есть мнение, что ничто не мешает вирусу таскать в себе наборы DCU. Если хранить только отличия от оригинальных, то будет довольно компактно. Тогда вирус может поражать Delphi и без помощи компилятора.
                                                                                                                                            Цитата Frees @
                                                                                                                                            такой вопрос для того что бы вирус заработал нужно перекомилять dcu?
                                                                                                                                            тоесть нужен dcc32.exe
                                                                                                                                            без нее только изменится пас а компиляться будет с помощью старой dcu так?
                                                                                                                                            если переименовать dcc32.exe то не заразишся?

                                                                                                                                            или это не панацея

                                                                                                                                            Я на всякий случай просто заархивировал dсс32.exe rar-ом. Без этого компилятора у меня Дельфи нормально работает.
                                                                                                                                              http://edn.embarcadero.com/article/39851
                                                                                                                                                Цитата ViktorXP @
                                                                                                                                                http://edn.embarcadero.com/article/39851

                                                                                                                                                а что там пишут если в двух словах (руских)
                                                                                                                                                  Цитата Frees @
                                                                                                                                                  а что там пишут если в двух словах (руских)

                                                                                                                                                  ну там ответы на вопрос какие версиии заражает. как определить заражена версия или нет.
                                                                                                                                                  и тд. (90% мы перетерли уже сами ))) )

                                                                                                                                                  ну и есть ссылка на программу, с помощью которой можно проверить изменения dcu
                                                                                                                                                  http://sourceforge.net/projects/freefilesync/
                                                                                                                                                  (насколько я понял то она будет сравнивать директории с оригиналом.)
                                                                                                                                                    Может я плохочитал, но имхо там ничего не упомянуто про Delphi 8, а D2005=delphi 9.
                                                                                                                                                    Я думаю, что этот вирус не поражает Делфи 8.
                                                                                                                                                      Ну наверное потому что она под Net. там наверное и файла DCC32.EXE нет )) (хотя не знаю так как не видел ни разу эту версию)
                                                                                                                                                        Цитата ViktorXP @
                                                                                                                                                        Ну наверное потому что она под Net. там наверное и файла DCC32.EXE нет
                                                                                                                                                        Посмотрел, так оно и есть, т.е. файла dcc32.exe нет. :yes:
                                                                                                                                                        Сообщение отредактировано: Alexander N -
                                                                                                                                                          вы не забывайте что антивирусы его не видели ещё и потому что он ничего не делал. Как только начнутся вариации с деструктивными действиями, эвристика завопит. Да и к тому времени, думаецца, Эмбаркадеро сделает фикс с самоконтролем, типа при запуске проверка контрольных сумм.
                                                                                                                                                            Цитата Игорь Акопян @
                                                                                                                                                            Да и к тому времени, думаецца, Эмбаркадеро сделает фикс с самоконтролем, типа при запуске проверка контрольных сумм.
                                                                                                                                                            При запуске недостаточно. Ведь если сначала запустить Delphi, а потом какой-то пример зараженный, то пример заразит Дельфи, а на ней тут-же скомпилировать можно что-то, и получится еще один зараженный экзешник.
                                                                                                                                                            Есть вопрос, что делает Дельфи прямо перед компиляцией такого, что можно перехватить средствами самой Делфи(хуками, например)?
                                                                                                                                                            ЗЫ: хочу написать прогу защитную.
                                                                                                                                                              Цитата Игорь Акопян @
                                                                                                                                                              Как только начнутся вариации с деструктивными действиями, эвристика завопит.

                                                                                                                                                              Эммм... а как насчёт удаления важных файлов 1-го апреля 2012-го года? Я действительно не думаю, что эвристика будет ругаться на цикл FindFirst/FindNext с вызовом DeleteFile.
                                                                                                                                                                От куда такая точность с датой атаки <_<
                                                                                                                                                                  Между прочим, всё новое - это хорошо забытое старое :P Помниться в не особо далёком 2001ом подхватил точно такую же заразу (ну может не такую же но уж больно похожую). Я ещё тогда работал на пятой версии, тот вирь попал ко мне с диском "Компоненты для Delphi" (у кореша взял заценить, всмысле диск, а не вирус :) ). Честно, сказать, не помню уже как назывался вирь, но заметил я его совершенно случайно, мой антивирусник начинал ругаться благим матом каждый раз когда я компилил прогу. Разбираться не стал, просто снёс винду к чертям :wall: , просканил диск и на этом успокоился. Смысл этой вредоносной программули начал доходить до меня лишь спустя какое-то время :D
                                                                                                                                                                  Сообщение отредактировано: Darkwolf -
                                                                                                                                                                    Хы, мой домашний и рабочий каспер на скомпиленные проги в зараженной дельфе не ругнулся.
                                                                                                                                                                    В общем вылечено =) спс
                                                                                                                                                                      Очень долго не мог понять почему антивирь ругает только что созданные проги,
                                                                                                                                                                      Оказалось вирус засел в SysConst.dcu (и зачем то создал SysConst.bak)

                                                                                                                                                                      Скопировал и переименовал .dcu (оставив .bak файл) вроде все ОК
                                                                                                                                                                        Цитата Daiver @
                                                                                                                                                                        и зачем то создал SysConst.bak
                                                                                                                                                                        А вдруг он неправильно заразит Дельфи? :blink:
                                                                                                                                                                        А если серьезно, то это потому, что создателя вируса интересовал не результат действия вируса, а результат испытания возможности такого распространения, это ИМХО.
                                                                                                                                                                          Цитата Alexander N @
                                                                                                                                                                          А если серьезно, то это потому, что создателя вируса интересовал не результат действия вируса, а результат испытания возможности такого распространения, это ИМХО.


                                                                                                                                                                          Т.е. Обкатка способа заражения?
                                                                                                                                                                            Цитата Daiver @
                                                                                                                                                                            Т.е. Обкатка способа заражения?
                                                                                                                                                                            Очень вероятно
                                                                                                                                                                              А где вообще можно найти Delphi 7 (гугл не предлагать. Желательно прямую ссылку(и чтобы поменьше весила))
                                                                                                                                                                                Цитата peedl @
                                                                                                                                                                                где вообще можно найти Delphi 7 (гугл не предлагать. Желательно прямую ссылку(и чтобы поменьше весила))

                                                                                                                                                                                на торрентах!...100% имеетсю полноценные версии...

                                                                                                                                                                                Добавлено
                                                                                                                                                                                отправил ссылку в приват!!
                                                                                                                                                                                  Я тоже подцепил эту заразу, вот только Nod32 её почему-то не видит :(. Узнал от людей, к которым попала моя софтина и DrWeb'ом прошёлся по компу
                                                                                                                                                                                    Цитата 7in X @
                                                                                                                                                                                    Nod32 её почему-то не видит
                                                                                                                                                                                    :blink: У меня видел :unsure:
                                                                                                                                                                                      да была такая проблемка инфицировал все создоваемые приложения =)
                                                                                                                                                                                        Каспер показывает, что все приложения заражены Virus.Win32.Induc.a... что это за лажа. Сканировка каталога delphi не дала никаких результатов
                                                                                                                                                                                          http://gunsmoker.blogspot.com/2009/08/viruswin32induca.html
                                                                                                                                                                                            CodeMonkey у меня ссылки не открываются (доступ в интернет урезан по максимуму, дальше этого форума не могу выйти), если не тяжко - выложи текст здесь
                                                                                                                                                                                            Сообщение отредактировано: shadow_tls -
                                                                                                                                                                                              Краткая вырезка со ссылки:

                                                                                                                                                                                              Цитата
                                                                                                                                                                                              FAQ для программистов.

                                                                                                                                                                                              Q: Проклятый [имя-антивируса] начал ругаться на все мои программы! Говорит: в них Virus.Win32.Induc.a. Параноидальный какой, надо отправить разработчикам с пометкой false-positive, а то работать невозможно.

                                                                                                                                                                                              A: Поздравляю, дорогой коллега, вы попались. Это не ложное срабатывание, а действительно инфекция. Вы и все ваши программы заражены.

                                                                                                                                                                                              Q: Что это за вирус?

                                                                                                                                                                                              A: Так называемый “Compile-a-virus” (“Скомпилируй-вирус”) или Virus.Win32.Induc.a.

                                                                                                                                                                                              Q: Какие версии Delphi подвержены этому вирусу?

                                                                                                                                                                                              A: Delphi версий с 4 по 7 включительно.

                                                                                                                                                                                              Q: Какие версии Delphi НЕ инфицируются этим вирусом?

                                                                                                                                                                                              A: Новые версии, начиная с Delphi 2005: 2005, 2006, 2007, 2009, включая 2010, а также Delphi Prism.

                                                                                                                                                                                              Q: Разносят ли вирус Delphi IDE или язык Delphi?

                                                                                                                                                                                              A: Нет, те версии Delphi, которые уязвимы для атаки, не поставляются вместе с вирусом. Вы получаете его, когда запускаете инфицированный exe или DLL файл на своей машине.

                                                                                                                                                                                              Q: Что делает вирус?

                                                                                                                                                                                              A: Вирус ничего не делает Delphi-ям версии выше, чем 7. Если машина заражена, то вирус не делает ничего плохого, кроме размножения.

                                                                                                                                                                                              Вирус встраивает себя в установленную Delphi версии 4, 5, 6 или 7. Потом, когда заражённая Delphi компилирует exe или DLL, то вирус автоматически появляется в результирующем модуле. Когда этот модуль запускается, то код вируса ищет установленные Delphi версий с 4 по 7 и встраивает себя во все установки, которые он найдёт. Тогда эти Delphi станут производить заражённые программы, которые снова будут искать Delphi для размножения и так далее.

                                                                                                                                                                                              Когда вирус находит подходящую Delphi для заражения, он ищет файл SysConst.pas. Он копирует файл во временную копию, добавляет в него свой код, компилирует модуль и заменяет дистрибутивный SysConst.dcu этой новой инфицированной версией. Затем временная копия SysConst.pas удаляется (вирус не модифицирует никаких pas-файлов на вашей системе). Вставляемый в SysConst.pas код просто запускает процедуру размножения вируса.

                                                                                                                                                                                              Q: А как мне определить, не заражён ли я?

                                                                                                                                                                                              A: Если нет анти-вируса или он молчит – отправьте файл sysconst.dcu на бесплатный сервис VirusTotal.

                                                                                                                                                                                              Q: Как узнать, есть ли на моей машине инфицированные программы, распространяющие этот вирус?

                                                                                                                                                                                              A: Запустите полное сканирование анти-вирусом, умеющим распознавать эту бяку (сверьтесь по результатам того же VirusTotal). Не забудьте обновить базы анти-вируса. Если не хотите ставить анти-вирус – воспользуйтесь online проверкой у Касперского.

                                                                                                                                                                                              Q: У меня вирус :( Откуда он взялся?

                                                                                                                                                                                              A: Если у вас есть вирус, то вы получили его, запустив на своей машине инфицированный exe или DLL. Delphi довольно популярная среда разработки, особенно среди ISV и MicroISV разработчиков. Если на вашу машину попал заражённый файл, он мог попасть или при скачивании программы или от ваших Delphi-коллег.

                                                                                                                                                                                              Q: Что означает для меня заражение?

                                                                                                                                                                                              A: Все компилируемые вами программы будут заражены. На любой машине с не защищёнными Delphi ваши программы будут заражать эти Delphi.

                                                                                                                                                                                              Q: Я уже отправил заражённые программы заказчику/выложил на сайте. Что делать?

                                                                                                                                                                                              A: Удалить вирус с машины и пересобрать все проекты. Опубликовать/разослать обновления. Говорить прямым текстом про вирус или нет – ваше дело. Можно сказать просто (как авторы квипа): “была исправлена ошибка с вылетом программы” (это про runtime error 3). Не прикопаешься. Вроде и правда, но вроде и не вся. Конечно, по-честному лучше бы оповестить о вирусе (да, можно дать ссылку на этот блог ;) ) и порекомендовать просканировать анти-вирусом со свежими базами. Но это ваш выбор. Лично я голосую за честное предупреждение.

                                                                                                                                                                                              Q: Как лечиться?

                                                                                                                                                                                              A: Рекомендую поставить один из анти-вирусов, который умеет обнаруживать эту заразу. Если не хотите ставить – воспользуйтесь online проверкой у Касперского. Все найденные файлы излечить, а если это невозможно – удалить и пересобрать/скачать новые версии без вируса. Файл sysconst.dcu надлежит скопировать с дистрибутивного диска (в старых версиях Delphi файлы лежали “как-есть”, без упаковки в архивы).

                                                                                                                                                                                              Q: Как удалить вирус из уже скомпилированных программ?

                                                                                                                                                                                              A: Ну, ваш анти-вирус может попытаться вылечить файл, но это не всегда помогает (например, при изменении файла начинает проваливаться проверка целостности). Самый надёжный способ: очистить систему и пересобрать все проекты.

                                                                                                                                                                                              Q: Как предотвратить заражение?

                                                                                                                                                                                              A: Единственный надёжный способ: следить за папкой \Lib и \Source. Если в вашем анти-вирусе есть функция “эти-файлы-никогда-не-должы-меняться” – добавляйте в неё на слежение папки \Lib и \Source (а лучше – всю папку Delphi сразу). Если нет анти-вируса, то как вариант, можно загнать все файлы в какую-нибудь систему контроля версий или хотя бы сделать бекап и проверять на отличия перед сборкой финальных релизов. Ну, напишите хотя бы программку по сверке файлов. Программист вы, в конце концов или нет? Кроме того, я уверен, что есть и сторонние программы подобного плана – надо только поискать. К примеру, это сделанный в стиле утилит от дяди Нортона AdInf или IDSMonitor. Embarcadero рекомендует сделать бекап и использовать сравнивалки каталогов типа Free FileSync.

                                                                                                                                                                                              Примечание: ранее были советы типа создания sysconst.bak файла. Надо понимать, что это направлено против одного конкретного вируса. Сейчас это уже не имеет смысла, т.к. сигнатура вируса сидит в базах анти-вирусов – они и так его поймают. А защищаться сейчас нужно от модификаций/клонов этого вируса. И сделать это можно только контролем папок Delphi.

                                                                                                                                                                                              Q: Поражает ли вирус пакеты Delphi?

                                                                                                                                                                                              A: Это возможно, но бывает очень редко. По-умолчанию – нет. Это может быть только если вы используете свои custom-пакеты вместо стандартного RTL-пакета.

                                                                                                                                                                                              Q: Поражает ли вирус C++ Builder?

                                                                                                                                                                                              A: Конкретно этот – нет. Но это теоретически возможно.

                                                                                                                                                                                              Q: Ого, у меня дата изменения sysconst.dcu – 5 лет назад! Это ж сколько он гуляет по сети?

                                                                                                                                                                                              A: Нельзя смотреть на дату sysconst.dcu, т.к. вирус сохраняет дату оригинального файла. Поэтому обычно эта дата – время установки вашей Delphi, не более того. По вопросу его времени активной жизни - см. вопросы по истории ниже.

                                                                                                                                                                                              Q: У меня нет sysconst.bak – я чист!

                                                                                                                                                                                              A: Это не всегда верно. Например, sysconst.bak мог быть кем-то удалён. Да, чаще всего это означает отсутствие Virus.Win32.Induc.a, но не всегда. Надёжнее всего – проверить sysconst.dcu, скормив его анти-вирусу или поискав в нём вручную “CreateFile(pchar(d+$bak$),0,0,0,3,0,0)”.

                                                                                                                                                                                              Q: Антивирус ругается на файл, но никакого “CreateFile(pchar(d+$bak$),0,0,0,3,0,0)” там нет!

                                                                                                                                                                                              A: Т.е. вы считаете, про при упаковке программы UPX или AspPack, пакер специально не будет паковать строку “CreateFile(pchar(d+$bak$),0,0,0,3,0,0)”, чтобы вы могли найти вирус?

                                                                                                                                                                                              Q: Я заражён, но на мои программы антивирус не ругается! Кому верить?

                                                                                                                                                                                              A: Ну, если вы компилируете программу с пакетами (run-time packages), то очевидно, что вирус в вашу программу не попадает, т.к. модуль SysConst сидит в (уже скомпилированном) пакете RTL, который вирус не трогает. Также надо обратить внимание на тот факт, что вирус не трогает отладочные копии файлов (в папке \Lib\Debug), так что если вы включаете опцию “Use Debug DCUs”, то ваша программа будет собираться с чистой, а не с инфицированной версией модуля SysConst.

                                                                                                                                                                                              Q: Все мои программы анти-вирус считает заражёнными, но не ругается ни на один файл в папке Delphi. Т.е. SysConst.dcu чист. Ложное срабатывание?

                                                                                                                                                                                              A: Ну, некоторые анти-вирусы имеют своё мнение о том, что можно, а что нельзя считать заразой. В частности, некоторые считают, что сам по себе инфицированный SysConst.dcu не представляет угрозы - а лишь будучи вкомпилирован в программу. Именно поэтому антивирус пропускает модифицированный SysConst.dcu, но ругается на программу, собранную с ним. Чтобы убедиться в этом - отправьте SysConst.dcu на бесплатный сервис VirusTotal

                                                                                                                                                                                              Q: Как определить, от чего я заразился?

                                                                                                                                                                                              A: Найдите инфицированную программу, скомпилированную не вами. Самая ранняя из них и будет источником заражения (ну, если вы не удалили её, конечно).

                                                                                                                                                                                              Q: Как определить, когда я заразился?

                                                                                                                                                                                              A: Найти все инфицированные программы и посмотреть самую раннюю дату создания/компиляции.

                                                                                                                                                                                              Q: Вирус есть, но sysconst.bak файла нет, а анти-вирус не лечит. Что делать?

                                                                                                                                                                                              A: Проще всего – скопировать файл с установочного диска. Ну и для верности вообще Delphi переустановить ;) Для сильно умеющих – вместо этого можно пересобрать файлы в \Lib из папки \Source. Разумеется, перед этим сперва нужно провести полное сканирование системы и удалить все заражённые файлы (ну или вылечить, если ваш анти-вирус такое умеет).
                                                                                                                                                                                                Оказывается и у меня Delphi заражен, это наверное с AIMP и QIP взялся ;)
                                                                                                                                                                                                Скорее всего многие программы на Delphi заражены этим вирусом)))
                                                                                                                                                                                                Результаты проверки файла sysconsts.dcu VirusTotal.com:
                                                                                                                                                                                                Скрытый текст

                                                                                                                                                                                                Антивирус Версия Обновление Результат
                                                                                                                                                                                                a-squared 4.5.0.50 2010.04.17 Virus.Win32.Induc!IK
                                                                                                                                                                                                AhnLab-V3 5.0.0.2 2010.04.16 Win32/Induc
                                                                                                                                                                                                AntiVir 7.10.6.115 2010.04.16 W32/Induc.A
                                                                                                                                                                                                Antiy-AVL 2.0.3.7 2010.04.16 -
                                                                                                                                                                                                Authentium 5.2.0.5 2010.04.16 -
                                                                                                                                                                                                Avast 4.8.1351.0 2010.04.16 Win32:Induc
                                                                                                                                                                                                Avast5 5.0.332.0 2010.04.16 Win32:Induc
                                                                                                                                                                                                AVG 9.0.0.787 2010.04.16 -
                                                                                                                                                                                                BitDefender 7.2 2010.04.17 Win32.Induc.A
                                                                                                                                                                                                CAT-QuickHeal 10.00 2010.04.17 Induc.A
                                                                                                                                                                                                ClamAV 0.96.0.3-git 2010.04.17 Virus.Induc-2
                                                                                                                                                                                                Comodo 4623 2010.04.17 -
                                                                                                                                                                                                DrWeb 5.0.2.03300 2010.04.17 Win32.Induc
                                                                                                                                                                                                eSafe 7.0.17.0 2010.04.15 -
                                                                                                                                                                                                eTrust-Vet 35.2.7430 2010.04.16 Win32/Induc.A!DCU
                                                                                                                                                                                                F-Prot 4.5.1.85 2010.04.16 -
                                                                                                                                                                                                F-Secure 9.0.15370.0 2010.04.16 Win32.Induc.A
                                                                                                                                                                                                Fortinet 4.0.14.0 2010.04.16 -
                                                                                                                                                                                                GData 19 2010.04.17 Win32.Induc.A
                                                                                                                                                                                                Ikarus T3.1.1.80.0 2010.04.17 Virus.Win32.Induc
                                                                                                                                                                                                Jiangmin 13.0.900 2010.04.17 -
                                                                                                                                                                                                Kaspersky 7.0.0.125 2010.04.17 Virus.Win32.Induc.a
                                                                                                                                                                                                McAfee 5.400.0.1158 2010.04.17 -
                                                                                                                                                                                                McAfee-GW-Edition 6.8.5 2010.04.17 Heuristic.BehavesLike.Exploit.CodeExec.FFJJ
                                                                                                                                                                                                Microsoft 1.5605 2010.04.17 -
                                                                                                                                                                                                NOD32 5035 2010.04.16 -
                                                                                                                                                                                                Norman 6.04.11 2010.04.16 -
                                                                                                                                                                                                nProtect 2010-04-17.01 2010.04.17 -
                                                                                                                                                                                                Panda 10.0.2.7 2010.04.16 W32/Induc.A
                                                                                                                                                                                                PCTools 7.0.3.5 2010.04.17 Virus.Induc
                                                                                                                                                                                                Prevx 3.0 2010.04.17 -
                                                                                                                                                                                                Rising 22.43.05.03 2010.04.17 -
                                                                                                                                                                                                Sophos 4.52.0 2010.04.17 Mal/Induc-A
                                                                                                                                                                                                Sunbelt 6187 2010.04.17 Virus.DCU.Induc.a (v)
                                                                                                                                                                                                Symantec 20091.2.0.41 2010.04.17 W32.Induc.A!dcu
                                                                                                                                                                                                TheHacker 6.5.2.0.263 2010.04.16 -
                                                                                                                                                                                                TrendMicro 9.120.0.1004 2010.04.15 TROJ_INDUC.AA
                                                                                                                                                                                                VBA32 3.12.12.4 2010.04.15 -
                                                                                                                                                                                                ViRobot 2010.4.17.2282 2010.04.17 Win32.Induc.AB
                                                                                                                                                                                                VirusBuster 5.0.27.0 2010.04.16 Win32.Induc
                                                                                                                                                                                                0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
                                                                                                                                                                                                0 пользователей:


                                                                                                                                                                                                Рейтинг@Mail.ru
                                                                                                                                                                                                [ Script execution time: 0,1621 ]   [ 17 queries used ]   [ Generated: 28.03.24, 12:24 GMT ]