Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[3.237.15.145] |
|
Сообщ.
#2
,
|
|
|
прикрепил бы темку
|
Сообщ.
#3
,
|
|
|
да реальный вирус ... вот и пользуйся QIP - проще свой аналог написать ...
|
Сообщ.
#4
,
|
|
|
Цитата andrew.virus @ вот и пользуйся QIP Тогда уж: Цитата andrew.virus @ вот и пользуйся Delphi-программами А если появятся аналоги, то: Цитата andrew.virus @ вот и пользуйся программами |
Сообщ.
#5
,
|
|
|
ура
|
Сообщ.
#6
,
|
|
|
а я то думаю почему квип гуратся начал. но как то лениво было ковырять это дело. но так как под вистой сижу да и 2007 делфя стоит то не сильно расстроился.
ну этаж надо было придумать... |
Сообщ.
#7
,
|
|
|
Цитата P.O.D @ ура У нас есть свой вирус!!!!® Откровения линуксоидов. |
Сообщ.
#8
,
|
|
|
Дома Vista и Delphi нет вообще, а вот на работе оказалось у всех.
|
Сообщ.
#9
,
|
|
|
Эээ... у меня стоит
dbrtl.dcp.bak InvokeRegistry.dcu.bak OPToSOAPDomConv.dcu.bak soaprtl.dcp.bak TypeTrans.dcu.bak WebServExp.dcu.bak Также пользуюсь КИПом 2.0.9024 РЦэ4 Блин, страшно как-то... Вдруг это сверхсовершенная модификация Т-2009! Добавлено Вспомнил один случай. Полторагода назад писал сетевую утилиту на KOL еще в седьмушке. В самом начале писания кода сделал билд и как хлабысь - Каспер сработал на мою прогу. И так несколько раз. Когда чуть-чуть добавил кода перестал. |
Сообщ.
#10
,
|
|
|
Добавил в блог голосование. Кому не сильно лениво - просьба отметиться
Цитата osmiy74 @ Блин, страшно как-то... Вдруг это сверхсовершенная модификация Т-2009! Чтобы определить точно - поищите в файлах строчку "CreateFile(pchar(d+$bak$),0,0,0,3,0,0)" (без кавычек). Ну а самое надёжное - сравнить с дистрибутивом, конечно же. |
Сообщ.
#11
,
|
|
|
Да проверил уже. Т-2009 так легко не обнаружится. Удалил я эти файлы и перезапустил все дэлфи-проги (включая КИП) - обратно они не появились. Должно быть Т-2009 это очень коварная модификация.
|
Сообщ.
#12
,
|
|
|
Наврятли модификация, в цикле идет поиск в реестре с 4 по 7 версии Делфи.
Давно установил 7 Делфи по минимуму только с dcu файлами, поэтому можно не волноваться об изменении pas файла с компиляцией вредоносного кода в dcu... |
Сообщ.
#13
,
|
|
|
Цитата medved_68 @ У нас есть свой вирус!!!! кстати способ позволяет определять какой месенджер ICQ использует пользователь - только QIP дает такой результат ... |
Сообщ.
#14
,
|
|
|
плеер AIMP дает такой результат. Любая прога собранная в завирусованной дельфи дает такой результат, а если посещать местный раздел "Потестите мою программу" то есть большая вероятность получить гадость
|
Сообщ.
#15
,
|
|
|
Цитата CodeMonkey @ Добавил в блог голосование. Кому не сильно лениво - просьба отметиться Отметился. Все чисто, вируса нет. Д7 и ХР, правда я лет восемь не работаю под админом (одна из рекомендаций, данных в блоге). |
Сообщ.
#16
,
|
|
|
Virus.Win32.Induc.a: энцать дней спустя - собранная в кучу информация по Virus.Win32.Induc.a.
|
Сообщ.
#17
,
|
|
|
а если зараженная делфи прога была какой нить защитой закриптована то ее антивирус скорее всего не найдет...
|
Сообщ.
#18
,
|
|
|
Цитата Frees @ а если зараженная делфи прога была какой нить защитой закриптована то ее антивирус скорее всего не найдет... скорее найдет |
Сообщ.
#19
,
|
|
|
...ну, это от анти-вируса, наверное, зависит-то...
|
Сообщ.
#20
,
|
|
|
У меня такой вопрос, если этот dcu-шный файл сделать "только для чтения", то вирусом он заражен не будет? Ведь имхо дельфийские программы при попытке записи в файлы с атрибутом "read only" выдают ошибку.
|
Сообщ.
#21
,
|
|
|
Нет, это не поможет, т.к. вирус не изменяет файлы - он просто переименовывает его и создаёт новый. Никакой атрибут помешать этому не в состоянии.
|
Сообщ.
#22
,
|
|
|
зато у нас есть ntfs...
|
Сообщ.
#23
,
|
|
|
Это да. Но если вам попадётся инфицированный установщик (а установщик в 99% случаев запускается под админом), то туши свет. Автор вируса вполне может предусмотреть вариант нехватки прав и форсированно их давать, будучи запущенным под админом.
|
Сообщ.
#24
,
|
|
|
Но ничтожно малое количество установщиков будет накрыто протекторами/упаковщиками (в этом нет смысла) посему они будут своевременно распознаватся антивырем.
Добавлено и почему только 4-7 версии. 2005 и выше существуют довольно давно. с этого складывается мнение что либо создатель никогда не использовал другие версии (посему он не знает как устроено в других версиях) либо вирус был написан намеренно что бы разработчики начали перебирается на более современный версии Скрытый текст (и тут даже можно продолжить мысль кто, но лучше промолчать). |
Сообщ.
#25
,
|
|
|
Цитата ViktorXP @ они будут своевременно распознаватся антивырем А разве Virus.Win32.Induc.a был своевременно опознан хоть кем-то? С моей точки зрения он устроил эпидемию. Причём ого-го какую (в рамках Delphi-сообщества). |
Сообщ.
#26
,
|
|
|
насчет эпидемии я бы поспорил. у меня был зараженный квип, но не более того. и не у одного моего знакомого не было вируса. даже квипа зараженного (так как им было лень качать обновление) (и мне было лень, но так получилось что под рукой дистрибутива не было, а интернет был )) )
|
Сообщ.
#27
,
|
|
|
А чего тут спорить-то? Это факт. Я, вот, к примеру, был чист. Но это никак не отменяет того факта, что толпа народу была инфицирована.
Да и чёрт с ней. Смысл в том, что анти-вирус не опознает следующий вирус подобного плана. Защищаться (ну и бояться) нужно, конечно же, не "индюка", а его модификацию. Надеяться на то, что их будет отлавливать анти-вирус... ну, вот вам Virus.Win32.Induc.a убедительно показал во что выливается такая вера. В инфицированные QIP, AIMP, плагины тотала и миранды, банковский софт, трояны, диски журналов и куча другого софта. Может я и перегибаю палку, но не очень хочется, чтобы после того, как все поорали "на тему", всё вернулось на круги своя без изменений. Тогда ничто не помешает создать и с такой же лёгкостью распространять вирус с куда более серьёзной полезной нагрузкой. |
Сообщ.
#28
,
|
|
|
а если вирус с серьезной боевой нагрузкой и для любой делфи уже написан и начал свой путь...
подобный вирус я пологаю может и не только через делфи ходить но и другие среды разработки панацея одна поставить делфи заного и посчитать контрольные суммы pas файлов |
Сообщ.
#29
,
|
|
|
Цитата панацея одна поставить делфи заного и посчитать контрольные суммы pas файлов дату изменения просто посмотреть, я посмотрел и выставил RO для каталога с дельфей, без возможности удаления, переименования, создания файлов и папок. На дельфи не ставлю никаких компонентов, есть руки написать свои или создавать их "runtime". |
Сообщ.
#30
,
|
|
|
Цитата Frees @ посчитать контрольные суммы pas файлов А dcu? Достаточно просто сравнить каталоги \Lib и \Source с дистрибутивными любой сравнивалкой каталогов. Благо в старых версиях они лежат на CD "как есть", без упаковки. Цитата antonn @ выставил RO для каталога с дельфей Атрибут read-only на папку не означает невозможности её изменения. |
Сообщ.
#31
,
|
|
|
Цитата CodeMonkey @ Цитата (antonn @ Сегодня, 10:54) выставил RO для каталога с дельфей Атрибут read-only на папку не означает невозможности её изменения. Если раздать права не через свойство а через права ntfs-а то еще как возможно (по ссылке не ходил) Добавлено В висте (и выше) можно востанавливать предыдущие версии файлов. а значит как-то можно и узнать какой файл имеет старые версии. |
Сообщ.
#32
,
|
|
|
Цитата CodeMonkey @ Достаточно просто сравнить каталоги \Lib и \Source с дистрибутивными любой сравнивалкой каталогов. Благо в старых версиях они лежат на CD "как есть", без упаковки. Эмн... А как быть, если я Update-ов понаставила, как собак нерезанных ? |
Сообщ.
#33
,
|
|
|
CodeMonkey
Цитата Атрибут read-only на папку не означает невозможности её изменения. Delphi-“вирус”: проверьте свою установленную Delphi! (сообщение #2346091) |
Сообщ.
#34
,
|
|
|
Цитата ViktorXP @ В висте (и выше) можно востанавливать предыдущие версии файлов. а значит как-то можно и узнать какой файл имеет старые версии. А как? У меня Виста, но я не в курсе. Цитата Riply @ Эмн... А как быть, если я Update-ов понаставила, как собак нерезанных ? Заранее сделать копию и заныкать в потайном месте. Перед сборкой программы для отправки заказчику/на сайт сделать сравнение нычки и установленной Delphi. |
Сообщ.
#35
,
|
|
|
antonn, если вирус стартовал с правами админа, то никакие NTFS не спасают.
Ему, всего-то навсего, достаточно иметь прямой доступ к диску и становится плевать на все секюрити, защиты и запреты |
Сообщ.
#36
,
|
|
|
Цитата Riply @ antonn, если вирус стартовал с правами админа, то никакие NTFS не спасают. Ему, всего-то навсего, достаточно иметь прямой доступ к диску и становится плевать на все секюрити, защиты и запреты вот как раз таки и облом ему произойдет. ntfs-у на права админа плевать. пока админ себе не дас доступ он даже в папку не сможет зайти. (по крайне мере в висте так работает. а вот насчет xp я не помню так как никогда в ней таким не страдал) но это нужно будет вирус научить ставить себе права на папку )))) (а вот тут вирус может разгуляется так как никто ему это не запретит из под админа) пс. но это если предварительно убраны все нежелательные права Цитата CodeMonkey @ А как? У меня Виста, но я не в курсе. Когда береш файл на свойства там есть доп вкладка в которой все версии файлов если ее нет то нужно убрать птичку насчет "отображать простой вид.... и тд" (хотя кажись она есть всегда но на все 100 не уверен) |
Сообщ.
#37
,
|
|
|
Цитата ViktorXP @ вот как раз таки и облом ему произойдет. ntfs-у на права админа плевать. пока админ себе не дас доступ он даже в папку не сможет зайти. (по крайне мере в висте так работает. а вот насчет xp я не помню так как никогда в ней таким не страдал) но это нужно будет вирус научить ставить себе права на папку )))) пс. но это если предварительно убраны все нежелательные права При прямом доступе к диску, плевать на все права, т.к. не надо открывать конкретную папку(файл) как объект - вся работа идет через MFT. Проверяла под XP - все без исключения читается(пишется) вне зависимости от владельцев, прав и настроек. Под Win7 проверяла только чтение - та же самая ситуация. (До проверки записи (под Win7) руки еще не дошли) |
Сообщ.
#38
,
|
|
|
Ну если навпрямую к диску то да. но вирус тогда придется по тяжелее писать нюансов много возникнет (файловые системы могут быть разными)
|
Сообщ.
#39
,
|
|
|
ViktorXP, меня пугает, что алгоритм вируса опубликован.
Реализация его новой модификации не составит никакого труда, и ее опасность и возможности будут зависеть только от автора и его уровня. На антивирусы, в плане защиты от таких модификаций надежды мало Вывод: надо писать собственную Delphi_вирус_находилку |
Сообщ.
#40
,
|
|
|
Riply от подобных поделок этого хватит, а потенциал такой штуки велики, согласен
|
Сообщ.
#41
,
|
|
|
Цитата Riply @ ViktorXP, меня пугает, что алгоритм вируса опубликован. Реализация его новой модификации не составит никакого труда, и ее опасность и возможности будут зависеть только от автора и его уровня. такие же мыли посещали. Цитата Riply @ На антивирусы, в плане защиты от таких модификаций надежды мало ну почему?. ставишь антивырь а он тебе: "у вас обнаружено 4 'студии для программирования'. найдены директории зашифрованы рандомным 512 битным ключиком, а сам ключ выброшен. с любовью антивырь" |
Сообщ.
#42
,
|
|
|
ViktorXP
Цитата ну почему?. ставишь антивырь а он тебе: "у вас обнаружено 4 'студии для программирования'. найдены директории зашифрованы рандомным 512 битным ключиком" а сторонние компоненты? |
Сообщ.
#43
,
|
|
|
Цитата ViktorXP @ ну почему? Есть подозрение, потому что в отличие от обычных вирусов, подобные "индюку" вирусы находятся в программах "by design", т.е. это не "как-бы инфицированная программа", а скорее "просто программа", которая, ну так уж написал программист, лезет в реестр и меняет файлики. Она не делает ничего из того, что делают обычные вирусы, она не инфицирует файлы. |
Сообщ.
#44
,
|
|
|
Цитата antonn @ а сторонние компоненты? ну во первых я не бросаю сторонние компоненты в папки делфи. во вторых я не думаю что делфя вообще будет работать при таком раскладе ))) только что подумал. а это идея! механизм такой. заходим из под админ прав и на папку режим всем права. кроме админа. ему только на чтение. а своему юзеру на время полный. шифруем все из под юзера. (при этом ключ нужно будет сохранить где нибудь как резерв) потом заходим опять из админа и режим нашему пользователю папку до прав только на чтение. у админа естественно будут права только на чтение. у юзера тоже. при этом все будет работать. а если вырю захочется с диском поговорить... так пожалуйста. в лудшем случае он сможет только найти файл, но так как файл шифрован то он не сможет ему ничего добавить. хотя если в каталоге перенаправить в другое мето.... |
Сообщ.
#45
,
|
|
|
Цитата ViktorXP @ ntfs-у на права админа плевать Кстати, никто не запрещает админу сменить владельца и изменить права. Не верите? Проверьте. Кроме того, админ может получить право на бэкап или обход перекрёстной проверки, что отменяет проверки ACL-списками. Короче говоря, если ты админ, то есть куча простых способов обхода проверок (иначе ты не был бы админом) - вовсе не обязательно заморачиваться с прямым доступом (хотя это и тоже вариант). Добавлено Цитата ViktorXP @ а своему юзеру на время полный. шифруем все из под юзера. Эээ... вообще-то вы изобрели велосипед. Это делается установкой галки "Шифрование" Только надо понимать, что никто кроме вас тогда Delphi не воспользуется (ну у него же нет вашего ключа). |
Сообщ.
#46
,
|
|
|
Цитата ну во первых я не бросаю сторонние компоненты в папки делфи. да какая разница, дельфи где то хранит ведь настроки об всех своих и внешних компонентах |
Сообщ.
#47
,
|
|
|
Цитата antonn @ да какая разница, дельфи где то хранит ведь настроки об всех своих и внешних компонентах реестр Цитата ViktorXP @ хотя если в каталоге перенаправить в другое мето.... плевать. самого файла у него не будет. а тягать копию всех версий делфи тоже никто не станет. Добавлено Цитата CodeMonkey @ Эээ... вообще-то вы изобрели велосипед. Это делается установкой галки "Шифрование" Только надо понимать, что никто кроме вас тогда Delphi не воспользуется (ну у него же нет вашего ключа). ну так я и имел ввиду это шифрование. Добавлено Цитата CodeMonkey @ Только надо понимать, что никто кроме вас тогда Delphi не воспользуется (ну у него же нет вашего ключа) если ты помнишь то мы сохраняли ключик резервный. в тех юзерах его импортируешь и все (ну и + им нужно папку на чтение дать.) |
Сообщ.
#48
,
|
|
|
Но это не применимо в широких масштабах (потому что самая реальная перспектива - это работа под UAC, т.е. ты и админ и пользователь, а от самого себя шифрование не будет работать).
Ну и вообще-то у админа всегда есть возможность импортнуть ключ любого пользователя Но это уже overkill как в плане защиты, так и нападения. Контроль модификации файлов любым ревизором - это просто и железобетонно. |
Сообщ.
#49
,
|
|
|
Цитата CodeMonkey @ потому что самая реальная перспектива - это работа под UAC, т.е. ты и админ и пользователь надо им идейку подкинуть. если программа просит права админа чтобы была возможность контролировать куда она с этими правами лазит или настраивать программе что она может с ими делать (это было бы вообще здорово. хотя если я не ошибаюсь то программы подобные есть.) |
Сообщ.
#50
,
|
|
|
В принципе, 95% запусков под админом - это установщики программ. И если ты работаешь под админом и к тебе пришла бяка - то именно с инфицированного установщика.
В идеале надо запускать установщики под "полуадмином". Т.е. он как-бы админ, но не имеет права менять уже существующие папки и файлы в Program Files (ну за исключением Common). Вроде как этого достаточно. Но хз, может и перебор. Ведь установщики практически никогда не компилируются в Delphi (даже если они на Delphi писаны), так что при даже работе под UAC можно спать относительно спокойно. |
Сообщ.
#51
,
|
|
|
ViktorXP
Цитата реестр я знаю, что в реетре веду к тому, что мешает вирусу их прочтать, "сходить" в эти каталоги и поиздеваться над юнитами? В большинство юнитов вообще достаточно добавить в конец файла: begin //удаляем все mp3 рекурсивно end. |
Сообщ.
#52
,
|
|
|
Цитата antonn @ веду к тому, что мешает вирусу их прочтать, "сходить" в эти каталоги и поиздеваться над юнитами? В большинство юнитов вообще достаточно добавить в конец файла: ждем второй волны этого вируса |
Сообщ.
#53
,
|
|
|
Цитата antonn @ мешает вирусу их прочтать, "сходить" в эти каталоги и поиздеваться над юнитами? Человеческая жадность. Вы же не используете все компоненты в каждом проекте? "Как так? Мой вирус и вдруг - не в каждой программе?" |
Сообщ.
#54
,
|
|
|
Цитата Вы же не используете все компоненты в каждом проекте? компоненты бывают разными |
Сообщ.
#55
,
|
|
|
Вирусу-то откуда знать, какими они бывают?
|
Сообщ.
#56
,
|
|
|
Цитата CodeMonkey @ Только что обнаружил, что моя седьмушка заражена, даже не понял откуда. На нее срабатывае нод и все видимые признаки заражения. А разве Virus.Win32.Induc.a был своевременно опознан хоть кем-то? С моей точки зрения он устроил эпидемию. Причём ого-го какую (в рамках Delphi-сообщества). |
Сообщ.
#57
,
|
|
|
Цитата Alexander N @ Только что обнаружил, что моя седьмушка заражена, даже не понял откуда. На нее срабатывае нод и все видимые признаки заражения. а терь рассказывай что у тя за совт)) и кого он еще заразить мог? |
Сообщ.
#58
,
|
|
|
CodeMonkey
Цитата Вирусу-то откуда знать, какими они бывают? например от создателя я к тому, что есть сторонние компоненты очень распространенные. |
Сообщ.
#59
,
|
|
|
Ну лично я просто не вижу смысла заражать компоненты, когда можно заражать Delphi. Или это в плане надеяться на то, что дельфисты ступят и защитят Delphi, но не компоненты? Дохлый номер, имхо.
|
Сообщ.
#60
,
|
|
|
Цитата CodeMonkey @ Вирусу-то откуда знать, какими они бывают? а он с собой базу вех компонентов будет тягать. копию всех модулей на всякий случай. пол википедии (чтобы прочесть о том о чем он еще не знает) ну и будет уметь с браузерами работать чтобы на форум какой нить зайти и посоветоватся. в карантин Alexander N. изолировать под пытки временно. |
Сообщ.
#61
,
|
|
|
Цитата Frees @ Кто пользуется моими прогами. Пока окромя меня никто. кого он еще заразить мог? |
Сообщ.
#62
,
|
|
|
а если написать эксперт для делфи который бы слидил за изменением dcu. или может уже есть ченить...
решения как защититься от аналогов такого вируса нигде не увидел |
Сообщ.
#63
,
|
|
|
Цитата Frees @ а если написать эксперт для делфи который бы слидил за изменением dcu Слухай, ты мне только что подал идею для реализации в EurekaLog! А, чё, реально. 5 баллов! Добавлю как suggestion для 7-й версии. |
Сообщ.
#64
,
|
|
|
можно будет будет написать свой драйвер через который будет идти все обращение к диску и ему говорить какие директории будут на чтение. и если происходит их запись то выбросить сообщение пользователю а он уже решает что делать.
и назло разработчику писать ее не на С++ или asm-е а на тройке делфи. чтобы разработчик лопнул от бешенства |
Сообщ.
#65
,
|
|
|
Цитата Frees @ тоже такие мысли мелькали. Может сегодня даже чего-нибудь набросаю(как антивирем проверюсь). а если написать эксперт для делфи который бы слидил за изменением dcu. или может уже есть ченить... |
Сообщ.
#66
,
|
|
|
такой вопрос для того что бы вирус заработал нужно перекомилять dcu?
тоесть нужен dcc32.exe без нее только изменится пас а компиляться будет с помощью старой dcu так? если переименовать dcc32.exe то не заразишся? или это не панацея |
Сообщ.
#67
,
|
|
|
Цитата Riply @ ViktorXP, меня пугает, что алгоритм вируса опубликован. Реализация его новой модификации не составит никакого труда, и ее опасность и возможности будут зависеть только от автора и его уровня. На антивирусы, в плане защиты от таких модификаций надежды мало Вывод: надо писать собственную Delphi_вирус_находилку Ну и что к примеру злосчастный Win95.CIH - "чернобыль" давным давно в сорцах бродит по интернету в двух модификациях. И распространяется, как там было сказано "в ознакомительных целях". И ничего... пока в голову еще никому не дало его выпустить под NT... к тому же сейчас это не прокатит ввиду встроенной защиты в процессорах. |
Сообщ.
#68
,
|
|
|
Цитата Frees @ или это не панацея Есть мнение, что ничто не мешает вирусу таскать в себе наборы DCU. Если хранить только отличия от оригинальных, то будет довольно компактно. Тогда вирус может поражать Delphi и без помощи компилятора. |
Сообщ.
#69
,
|
|
|
Цитата Frees @ такой вопрос для того что бы вирус заработал нужно перекомилять dcu? тоесть нужен dcc32.exe без нее только изменится пас а компиляться будет с помощью старой dcu так? если переименовать dcc32.exe то не заразишся? или это не панацея Я на всякий случай просто заархивировал dсс32.exe rar-ом. Без этого компилятора у меня Дельфи нормально работает. |
Сообщ.
#70
,
|
|
|
http://edn.embarcadero.com/article/39851
|
Сообщ.
#71
,
|
|
|
Цитата ViktorXP @ http://edn.embarcadero.com/article/39851 а что там пишут если в двух словах (руских) |
Сообщ.
#72
,
|
|
|
Цитата Frees @ а что там пишут если в двух словах (руских) ну там ответы на вопрос какие версиии заражает. как определить заражена версия или нет. и тд. (90% мы перетерли уже сами ))) ) ну и есть ссылка на программу, с помощью которой можно проверить изменения dcu http://sourceforge.net/projects/freefilesync/ (насколько я понял то она будет сравнивать директории с оригиналом.) |
Сообщ.
#73
,
|
|
|
Может я плохочитал, но имхо там ничего не упомянуто про Delphi 8, а D2005=delphi 9.
Я думаю, что этот вирус не поражает Делфи 8. |
Сообщ.
#74
,
|
|
|
Ну наверное потому что она под Net. там наверное и файла DCC32.EXE нет )) (хотя не знаю так как не видел ни разу эту версию)
|
Сообщ.
#75
,
|
|
|
Цитата ViktorXP @ Посмотрел, так оно и есть, т.е. файла dcc32.exe нет. Ну наверное потому что она под Net. там наверное и файла DCC32.EXE нет |
Сообщ.
#76
,
|
|
|
вы не забывайте что антивирусы его не видели ещё и потому что он ничего не делал. Как только начнутся вариации с деструктивными действиями, эвристика завопит. Да и к тому времени, думаецца, Эмбаркадеро сделает фикс с самоконтролем, типа при запуске проверка контрольных сумм.
|
Сообщ.
#77
,
|
|
|
Цитата Игорь Акопян @ При запуске недостаточно. Ведь если сначала запустить Delphi, а потом какой-то пример зараженный, то пример заразит Дельфи, а на ней тут-же скомпилировать можно что-то, и получится еще один зараженный экзешник.Да и к тому времени, думаецца, Эмбаркадеро сделает фикс с самоконтролем, типа при запуске проверка контрольных сумм. Есть вопрос, что делает Дельфи прямо перед компиляцией такого, что можно перехватить средствами самой Делфи(хуками, например)? ЗЫ: хочу написать прогу защитную. |
Сообщ.
#78
,
|
|
|
Цитата Игорь Акопян @ Как только начнутся вариации с деструктивными действиями, эвристика завопит. Эммм... а как насчёт удаления важных файлов 1-го апреля 2012-го года? Я действительно не думаю, что эвристика будет ругаться на цикл FindFirst/FindNext с вызовом DeleteFile. |
Сообщ.
#79
,
|
|
|
От куда такая точность с датой атаки
|
Сообщ.
#80
,
|
|
|
Между прочим, всё новое - это хорошо забытое старое Помниться в не особо далёком 2001ом подхватил точно такую же заразу (ну может не такую же но уж больно похожую). Я ещё тогда работал на пятой версии, тот вирь попал ко мне с диском "Компоненты для Delphi" (у кореша взял заценить, всмысле диск, а не вирус ). Честно, сказать, не помню уже как назывался вирь, но заметил я его совершенно случайно, мой антивирусник начинал ругаться благим матом каждый раз когда я компилил прогу. Разбираться не стал, просто снёс винду к чертям , просканил диск и на этом успокоился. Смысл этой вредоносной программули начал доходить до меня лишь спустя какое-то время
|
Сообщ.
#81
,
|
|
|
Хы, мой домашний и рабочий каспер на скомпиленные проги в зараженной дельфе не ругнулся.
В общем вылечено =) спс |
Сообщ.
#82
,
|
|
|
Очень долго не мог понять почему антивирь ругает только что созданные проги,
Оказалось вирус засел в SysConst.dcu (и зачем то создал SysConst.bak) Скопировал и переименовал .dcu (оставив .bak файл) вроде все ОК |
Сообщ.
#83
,
|
|
|
Цитата Daiver @ А вдруг он неправильно заразит Дельфи? и зачем то создал SysConst.bak А если серьезно, то это потому, что создателя вируса интересовал не результат действия вируса, а результат испытания возможности такого распространения, это ИМХО. |
Сообщ.
#84
,
|
|
|
Цитата Alexander N @ А если серьезно, то это потому, что создателя вируса интересовал не результат действия вируса, а результат испытания возможности такого распространения, это ИМХО. Т.е. Обкатка способа заражения? |
Сообщ.
#85
,
|
|
|
Цитата Daiver @ Очень вероятно Т.е. Обкатка способа заражения? |
Сообщ.
#86
,
|
|
|
А где вообще можно найти Delphi 7 (гугл не предлагать. Желательно прямую ссылку(и чтобы поменьше весила))
|
Сообщ.
#87
,
|
|
|
Цитата peedl @ где вообще можно найти Delphi 7 (гугл не предлагать. Желательно прямую ссылку(и чтобы поменьше весила)) на торрентах!...100% имеетсю полноценные версии... Добавлено отправил ссылку в приват!! |
Сообщ.
#88
,
|
|
|
Я тоже подцепил эту заразу, вот только Nod32 её почему-то не видит . Узнал от людей, к которым попала моя софтина и DrWeb'ом прошёлся по компу
|
Сообщ.
#89
,
|
|
|
Цитата 7in X @ У меня видел Nod32 её почему-то не видит |
Сообщ.
#90
,
|
|
|
да была такая проблемка инфицировал все создоваемые приложения =)
|
Сообщ.
#91
,
|
|
|
Каспер показывает, что все приложения заражены Virus.Win32.Induc.a... что это за лажа. Сканировка каталога delphi не дала никаких результатов
|
Сообщ.
#92
,
|
|
|
http://gunsmoker.blogspot.com/2009/08/viruswin32induca.html
|
Сообщ.
#93
,
|
|
|
CodeMonkey у меня ссылки не открываются (доступ в интернет урезан по максимуму, дальше этого форума не могу выйти), если не тяжко - выложи текст здесь
|
Сообщ.
#94
,
|
|
|
Краткая вырезка со ссылки:
Цитата FAQ для программистов. Q: Проклятый [имя-антивируса] начал ругаться на все мои программы! Говорит: в них Virus.Win32.Induc.a. Параноидальный какой, надо отправить разработчикам с пометкой false-positive, а то работать невозможно. A: Поздравляю, дорогой коллега, вы попались. Это не ложное срабатывание, а действительно инфекция. Вы и все ваши программы заражены. Q: Что это за вирус? A: Так называемый “Compile-a-virus” (“Скомпилируй-вирус”) или Virus.Win32.Induc.a. Q: Какие версии Delphi подвержены этому вирусу? A: Delphi версий с 4 по 7 включительно. Q: Какие версии Delphi НЕ инфицируются этим вирусом? A: Новые версии, начиная с Delphi 2005: 2005, 2006, 2007, 2009, включая 2010, а также Delphi Prism. Q: Разносят ли вирус Delphi IDE или язык Delphi? A: Нет, те версии Delphi, которые уязвимы для атаки, не поставляются вместе с вирусом. Вы получаете его, когда запускаете инфицированный exe или DLL файл на своей машине. Q: Что делает вирус? A: Вирус ничего не делает Delphi-ям версии выше, чем 7. Если машина заражена, то вирус не делает ничего плохого, кроме размножения. Вирус встраивает себя в установленную Delphi версии 4, 5, 6 или 7. Потом, когда заражённая Delphi компилирует exe или DLL, то вирус автоматически появляется в результирующем модуле. Когда этот модуль запускается, то код вируса ищет установленные Delphi версий с 4 по 7 и встраивает себя во все установки, которые он найдёт. Тогда эти Delphi станут производить заражённые программы, которые снова будут искать Delphi для размножения и так далее. Когда вирус находит подходящую Delphi для заражения, он ищет файл SysConst.pas. Он копирует файл во временную копию, добавляет в него свой код, компилирует модуль и заменяет дистрибутивный SysConst.dcu этой новой инфицированной версией. Затем временная копия SysConst.pas удаляется (вирус не модифицирует никаких pas-файлов на вашей системе). Вставляемый в SysConst.pas код просто запускает процедуру размножения вируса. Q: А как мне определить, не заражён ли я? A: Если нет анти-вируса или он молчит – отправьте файл sysconst.dcu на бесплатный сервис VirusTotal. Q: Как узнать, есть ли на моей машине инфицированные программы, распространяющие этот вирус? A: Запустите полное сканирование анти-вирусом, умеющим распознавать эту бяку (сверьтесь по результатам того же VirusTotal). Не забудьте обновить базы анти-вируса. Если не хотите ставить анти-вирус – воспользуйтесь online проверкой у Касперского. Q: У меня вирус Откуда он взялся? A: Если у вас есть вирус, то вы получили его, запустив на своей машине инфицированный exe или DLL. Delphi довольно популярная среда разработки, особенно среди ISV и MicroISV разработчиков. Если на вашу машину попал заражённый файл, он мог попасть или при скачивании программы или от ваших Delphi-коллег. Q: Что означает для меня заражение? A: Все компилируемые вами программы будут заражены. На любой машине с не защищёнными Delphi ваши программы будут заражать эти Delphi. Q: Я уже отправил заражённые программы заказчику/выложил на сайте. Что делать? A: Удалить вирус с машины и пересобрать все проекты. Опубликовать/разослать обновления. Говорить прямым текстом про вирус или нет – ваше дело. Можно сказать просто (как авторы квипа): “была исправлена ошибка с вылетом программы” (это про runtime error 3). Не прикопаешься. Вроде и правда, но вроде и не вся. Конечно, по-честному лучше бы оповестить о вирусе (да, можно дать ссылку на этот блог ) и порекомендовать просканировать анти-вирусом со свежими базами. Но это ваш выбор. Лично я голосую за честное предупреждение. Q: Как лечиться? A: Рекомендую поставить один из анти-вирусов, который умеет обнаруживать эту заразу. Если не хотите ставить – воспользуйтесь online проверкой у Касперского. Все найденные файлы излечить, а если это невозможно – удалить и пересобрать/скачать новые версии без вируса. Файл sysconst.dcu надлежит скопировать с дистрибутивного диска (в старых версиях Delphi файлы лежали “как-есть”, без упаковки в архивы). Q: Как удалить вирус из уже скомпилированных программ? A: Ну, ваш анти-вирус может попытаться вылечить файл, но это не всегда помогает (например, при изменении файла начинает проваливаться проверка целостности). Самый надёжный способ: очистить систему и пересобрать все проекты. Q: Как предотвратить заражение? A: Единственный надёжный способ: следить за папкой \Lib и \Source. Если в вашем анти-вирусе есть функция “эти-файлы-никогда-не-должы-меняться” – добавляйте в неё на слежение папки \Lib и \Source (а лучше – всю папку Delphi сразу). Если нет анти-вируса, то как вариант, можно загнать все файлы в какую-нибудь систему контроля версий или хотя бы сделать бекап и проверять на отличия перед сборкой финальных релизов. Ну, напишите хотя бы программку по сверке файлов. Программист вы, в конце концов или нет? Кроме того, я уверен, что есть и сторонние программы подобного плана – надо только поискать. К примеру, это сделанный в стиле утилит от дяди Нортона AdInf или IDSMonitor. Embarcadero рекомендует сделать бекап и использовать сравнивалки каталогов типа Free FileSync. Примечание: ранее были советы типа создания sysconst.bak файла. Надо понимать, что это направлено против одного конкретного вируса. Сейчас это уже не имеет смысла, т.к. сигнатура вируса сидит в базах анти-вирусов – они и так его поймают. А защищаться сейчас нужно от модификаций/клонов этого вируса. И сделать это можно только контролем папок Delphi. Q: Поражает ли вирус пакеты Delphi? A: Это возможно, но бывает очень редко. По-умолчанию – нет. Это может быть только если вы используете свои custom-пакеты вместо стандартного RTL-пакета. Q: Поражает ли вирус C++ Builder? A: Конкретно этот – нет. Но это теоретически возможно. Q: Ого, у меня дата изменения sysconst.dcu – 5 лет назад! Это ж сколько он гуляет по сети? A: Нельзя смотреть на дату sysconst.dcu, т.к. вирус сохраняет дату оригинального файла. Поэтому обычно эта дата – время установки вашей Delphi, не более того. По вопросу его времени активной жизни - см. вопросы по истории ниже. Q: У меня нет sysconst.bak – я чист! A: Это не всегда верно. Например, sysconst.bak мог быть кем-то удалён. Да, чаще всего это означает отсутствие Virus.Win32.Induc.a, но не всегда. Надёжнее всего – проверить sysconst.dcu, скормив его анти-вирусу или поискав в нём вручную “CreateFile(pchar(d+$bak$),0,0,0,3,0,0)”. Q: Антивирус ругается на файл, но никакого “CreateFile(pchar(d+$bak$),0,0,0,3,0,0)” там нет! A: Т.е. вы считаете, про при упаковке программы UPX или AspPack, пакер специально не будет паковать строку “CreateFile(pchar(d+$bak$),0,0,0,3,0,0)”, чтобы вы могли найти вирус? Q: Я заражён, но на мои программы антивирус не ругается! Кому верить? A: Ну, если вы компилируете программу с пакетами (run-time packages), то очевидно, что вирус в вашу программу не попадает, т.к. модуль SysConst сидит в (уже скомпилированном) пакете RTL, который вирус не трогает. Также надо обратить внимание на тот факт, что вирус не трогает отладочные копии файлов (в папке \Lib\Debug), так что если вы включаете опцию “Use Debug DCUs”, то ваша программа будет собираться с чистой, а не с инфицированной версией модуля SysConst. Q: Все мои программы анти-вирус считает заражёнными, но не ругается ни на один файл в папке Delphi. Т.е. SysConst.dcu чист. Ложное срабатывание? A: Ну, некоторые анти-вирусы имеют своё мнение о том, что можно, а что нельзя считать заразой. В частности, некоторые считают, что сам по себе инфицированный SysConst.dcu не представляет угрозы - а лишь будучи вкомпилирован в программу. Именно поэтому антивирус пропускает модифицированный SysConst.dcu, но ругается на программу, собранную с ним. Чтобы убедиться в этом - отправьте SysConst.dcu на бесплатный сервис VirusTotal Q: Как определить, от чего я заразился? A: Найдите инфицированную программу, скомпилированную не вами. Самая ранняя из них и будет источником заражения (ну, если вы не удалили её, конечно). Q: Как определить, когда я заразился? A: Найти все инфицированные программы и посмотреть самую раннюю дату создания/компиляции. Q: Вирус есть, но sysconst.bak файла нет, а анти-вирус не лечит. Что делать? A: Проще всего – скопировать файл с установочного диска. Ну и для верности вообще Delphi переустановить Для сильно умеющих – вместо этого можно пересобрать файлы в \Lib из папки \Source. Разумеется, перед этим сперва нужно провести полное сканирование системы и удалить все заражённые файлы (ну или вылечить, если ваш анти-вирус такое умеет). |
Сообщ.
#95
,
|
|
|
Оказывается и у меня Delphi заражен, это наверное с AIMP и QIP взялся
Скорее всего многие программы на Delphi заражены этим вирусом))) Результаты проверки файла sysconsts.dcu VirusTotal.com: Скрытый текст Антивирус Версия Обновление Результат a-squared 4.5.0.50 2010.04.17 Virus.Win32.Induc!IK AhnLab-V3 5.0.0.2 2010.04.16 Win32/Induc AntiVir 7.10.6.115 2010.04.16 W32/Induc.A Antiy-AVL 2.0.3.7 2010.04.16 - Authentium 5.2.0.5 2010.04.16 - Avast 4.8.1351.0 2010.04.16 Win32:Induc Avast5 5.0.332.0 2010.04.16 Win32:Induc AVG 9.0.0.787 2010.04.16 - BitDefender 7.2 2010.04.17 Win32.Induc.A CAT-QuickHeal 10.00 2010.04.17 Induc.A ClamAV 0.96.0.3-git 2010.04.17 Virus.Induc-2 Comodo 4623 2010.04.17 - DrWeb 5.0.2.03300 2010.04.17 Win32.Induc eSafe 7.0.17.0 2010.04.15 - eTrust-Vet 35.2.7430 2010.04.16 Win32/Induc.A!DCU F-Prot 4.5.1.85 2010.04.16 - F-Secure 9.0.15370.0 2010.04.16 Win32.Induc.A Fortinet 4.0.14.0 2010.04.16 - GData 19 2010.04.17 Win32.Induc.A Ikarus T3.1.1.80.0 2010.04.17 Virus.Win32.Induc Jiangmin 13.0.900 2010.04.17 - Kaspersky 7.0.0.125 2010.04.17 Virus.Win32.Induc.a McAfee 5.400.0.1158 2010.04.17 - McAfee-GW-Edition 6.8.5 2010.04.17 Heuristic.BehavesLike.Exploit.CodeExec.FFJJ Microsoft 1.5605 2010.04.17 - NOD32 5035 2010.04.16 - Norman 6.04.11 2010.04.16 - nProtect 2010-04-17.01 2010.04.17 - Panda 10.0.2.7 2010.04.16 W32/Induc.A PCTools 7.0.3.5 2010.04.17 Virus.Induc Prevx 3.0 2010.04.17 - Rising 22.43.05.03 2010.04.17 - Sophos 4.52.0 2010.04.17 Mal/Induc-A Sunbelt 6187 2010.04.17 Virus.DCU.Induc.a (v) Symantec 20091.2.0.41 2010.04.17 W32.Induc.A!dcu TheHacker 6.5.2.0.263 2010.04.16 - TrendMicro 9.120.0.1004 2010.04.15 TROJ_INDUC.AA VBA32 3.12.12.4 2010.04.15 - ViRobot 2010.4.17.2282 2010.04.17 Win32.Induc.AB VirusBuster 5.0.27.0 2010.04.16 Win32.Induc |