 |
| |
|
|
 |
Autor |
Nachricht |
 |
| |
| Andy BitOff |
#1| Verfasst am: 13.08.2009, 09:21 Titel: Virus infects Delphi |
 |
|
|
|
Mitglied
Status: offline
Beiträge: 19
angemeldet: 11.06.2009
|
A new virus infects Delphi installations.
Infected program searches for installed versions of Delphi and modifies SysConst.dcu in each of them; old version is saved as SysConst.bak.
After infection all Delphi projects compiled on this computer start infecting Delphi at every computer they are launched on. The virus does not cause any harm except “Runtime error 3” exception which appears when infected program is launched if registry key HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x =4–7) contains wrong RootDir value.
Check your Delphi versions and if you find SysConst.bak then do the following:
1. Remove SysConst.dcu
2. Copy SysConst.bak to SysConst.dcu. The remaining SysConst.bak keeps system from repeated infections.
The virus does nothing, only distributed. Here is the code
 Delphi-Quellcode: | zusammenfalten | markieren | 1
·
·
·
5
·
·
·
·
10
| uses windows;
var sc:array[1..24] of string=('uses windows; var sc:array[1..24] of string=(',
'function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]',
*SNIP* // we do not want the full code here
'1; while c[i]<>#0 do begin r:=r+c[i];inc(i);end;re(r+$\source\rtl\sys\SysConst$+',
'$.pas$,r+$\lib\sysconst.$,$"$+r+$\bin\dcc32.exe" $);end;RegCloseKey(k);end; end;',
'begin st; end.'); |
|
.
[edit=Admin]reduced the code ... we do not need a fully working example here. Mfg, Daniel[/edit] |
 Zuletzt bearbeitet von Daniel am 18.08.2009, 10:26, insgesamt 1-mal bearbeitet. |
  |
|
|
|
| |
| Daniel G |
#2|Verfasst am: 13.08.2009, 09:59 Titel: Re: Virus infects Delphi |
|
|
|
|
CodeLib-Manager
Alter: 23
Status: offline
Beiträge: 1.544
angemeldet: 27.11.2008
Wohnort: Oldenburg (Oldb.)
Lazarus
|
Thanks for dropping a post on this issue. 
But, is this Virus already "in the wild"? Anything known about the origin? Didn't find any non-russian info on this topic... |
Grammatik für Anfänger - Heute: Satzbau
Subjekt - Prädikat - Beleidigung -, Alder! |
| |
|
|
|
| |
| Andy BitOff |
#3|Verfasst am: 13.08.2009, 10:15 Titel: Re: Virus infects Delphi |
|
|
|
|
Mitglied
Status: offline
Beiträge: 19
angemeldet: 11.06.2009
|
| Daniel G hat folgendes geschrieben: | Thanks for dropping a post on this issue.
But, is this Virus already "in the wild"? Anything known about the origin? Didn't find any non-russian info on this topic... |
Unfortunately not. Information about it came only two days ago due to examine the error Runtime error 3 has appeared in one user even in the month of May.
It is also known that they are infected with QIP 8094 and AIMP 2 Beta Build 470
More there is no information.
. |
|
| |
|
|
|
| |
| Andy BitOff |
#4|Verfasst am: 13.08.2009, 10:41 Titel: Re: Virus infects Delphi |
|
|
|
|
Mitglied
Status: offline
Beiträge: 19
angemeldet: 11.06.2009
|
To quickly determine which files are infected with the virus, you can simply start the search all files on all drives containing, for example, the line "CreateFile(pchar(d+$bak$),0,0,0,3,0,0)" (without the quotes, of course).
Fixed.
String for search should be no spaces.
. |
Zuletzt bearbeitet von Andy BitOff am 13.08.2009, 10:59, insgesamt 1-mal bearbeitet. |
| |
|
|
|
| |
| jaenicke |
#5|Verfasst am: 13.08.2009, 11:40 Titel: Re: Virus infects Delphi |
|
|
|
|
aktives Mitglied
Alter: 26
Status: offline
Beiträge: 1.966
angemeldet: 10.06.2003
Wohnort: Berlin
Delphi 2006 Professional
|
Well, as this virus only infects rather old versions of Delphi it is not really a big problem. 
And if the system is configured well, it has no chance to modify the Delphi installation. If one gives write access to the program files dir or works as admin (and under Vista without UAC), then one has to blame himself for making this decision. |
 Periodensystem Xtreme XStyleForm reloaded SJ Config Utils |
| |
|
|
|
| |
| Andy BitOff |
#6|Verfasst am: 13.08.2009, 12:13 Titel: Re: Virus infects Delphi |
|
|
|
|
Mitglied
Status: offline
Beiträge: 19
angemeldet: 11.06.2009
|
| jaenicke hat folgendes geschrieben: | Well, as this virus only infects rather old versions of Delphi it is not really a big problem.
And if the system is configured well, it has no chance to modify the Delphi installation. If one gives write access to the program files dir or works as admin (and under Vista without UAC), then one has to blame himself for making this decision. |
Surely.
However, not all do so. He does not do anything serious. Just information.
. |
|
| |
|
|
|
| |
|
|
| |
|
|
| |
| himitsu |
#9|Verfasst am: 18.08.2009, 09:25 Titel: Re: Virus infects Delphi |
|
|
|
|
sehr aktives Mitglied
Alter: 30
Status: offline
Beiträge: 13.330
angemeldet: 11.10.2003
Wohnort: Elbflorenz
|
also nett ist ja, daß diese "Virus"-Version ein Backup anlegt und er sich so leicht entfernen läßt
in die C:\Programme\Borland\Delphi7\Source\Rtl\Sys\SysConst.pas braucht man nicht reinschauen, da er ja eine kopie anlegt, diese ändert, kompiliert und wieder löscht
also einfach schauen, ob eine C:\Programme\Borland\Delphi7\Lib\SysConst.bak vorhanden ist.
die danebenliegende SysConst.dcu löschen und das .bak in .dcu umbennen |
an alle schlaflosen Programmierer ... macht ein Upgrade, denn mit neuer Technik passiert sowas nicht > http://xkcd.com/571 
www.fnse.de/img.htm |
| |
|
|
|
| |
| Daniel G |
#10|Verfasst am: 18.08.2009, 09:30 Titel: Re: Virus infects Delphi |
|
|
|
|
CodeLib-Manager
Alter: 23
Status: offline
Beiträge: 1.544
angemeldet: 27.11.2008
Wohnort: Oldenburg (Oldb.)
Lazarus
|
Ich fürchte nur, es wird nicht lange dauern, bis Versionen auftauchen, die eben auf diese *.bak verzichten... |
Grammatik für Anfänger - Heute: Satzbau
Subjekt - Prädikat - Beleidigung -, Alder! |
| |
|
|
|
| |
| himitsu |
#11|Verfasst am: 18.08.2009, 09:44 Titel: Re: Virus infects Delphi |
|
|
|
|
sehr aktives Mitglied
Alter: 30
Status: offline
Beiträge: 13.330
angemeldet: 11.10.2003
Wohnort: Elbflorenz
|
joar, aber zum Glück macht dieser Code aktuell noch nichts Schlimmes, außer sich selbst zu vervielfältigen (falls ich da nichts übersehn hab), aber das kann sich ja auch schnell ändern. 
[add]
es sind jetzt übrigens schon 2 Scanner mehr (also inzwischen 6 von 41, welche laut virustotal.com, diesen melden) |
an alle schlaflosen Programmierer ... macht ein Upgrade, denn mit neuer Technik passiert sowas nicht > http://xkcd.com/571
www.fnse.de/img.htm
Zuletzt bearbeitet von himitsu am 18.08.2009, 10:00, insgesamt 1-mal bearbeitet. |
| |
|
|
|
| |
| DeddyH |
#12|Verfasst am: 18.08.2009, 10:16 Titel: Re: Virus infects Delphi |
|
|
|
|
"Rüsselmops" ;-)
Alter: 43
Status: online
Beiträge: 13.566
angemeldet: 17.09.2006
Wohnort: Barchfeld/Thüringen
Delphi 2007 Professional
|
Ich hab irgendwo gelesen, dass man die *.bak nicht löschen sollte, sonst geht das von vorne los. Heißt also, man sollte eine Kopie der *.bak anlegen und diese dann umbenennen, damit Ruhe ist. |
Wenn Dein Programm nicht macht, was es soll, nenn es einfach "Version 1.0" 
Idee := Brain.Activate(self); |
| |
|
|
|
| |
| Assertor |
#13|Verfasst am: 18.08.2009, 10:18 Titel: Re: Virus infects Delphi |
|
|
|
|
aktives Mitglied
Alter: 30
Status: offline
Beiträge: 1.151
angemeldet: 04.02.2006
Wohnort: Hamburg
RAD-Studio 2010 Arc
|
Hi,
| himitsu hat folgendes geschrieben: | | joar, aber zum Glück macht dieser Code aktuell noch nichts Schlimmes, außer sich selbst zu vervielfältigen (falls ich da nichts übersehn hab), aber das kann sich ja auch schnell ändern. |
Und genau deswegen muß ich seit Threaderstellung darüber schmunzeln, daß hier der vollständige Quellcode dieses "powerful Virus" zu lesen ist - damit auch jedes Skriptkiddy sich daran versuchen kann
Moderatoren? Beispiel an Viruslist nehmen - und nur einen Auszug anzeigen.
Gruß Assertor |
Assertor Delphi Blog (englisch)
Embarcadero Technology Partner
Indy Mercury & Core Team // Indy OpenSSL Maintainer |
| |
|
|
|
| |
| Daniel |
#14|Verfasst am: 18.08.2009, 10:24 Titel: Re: Virus infects Delphi |
|
|
|
|
Desperate House Elf
Alter: (29++)+ε
Status: offline
Beiträge: 10.302
angemeldet: 30.05.2002
Wohnort: Hamburg
RAD-Studio 2010 Arc
|
| Assertor hat folgendes geschrieben: | | Moderatoren? Beispiel an Viruslist nehmen - und nur einen Auszug anzeigen. |
Überredet. Als ich mir den Code vor Tagen den Code angesehen habe, hatte ich nicht damit gerechnet, dass das Ding in der Wildnis überleben könnte. Offenbar eine Fehleinschätzung meinerseits. Die zweite in meinem Leben, die erste gab es in dem Moment, als ich mich damals für den Domain-Namen "dp2006.de" entschieden hatte. |
Admin Delphi-PRAXiS
mit Grüßen aus Hamburg |
| |
|
|
|
| |
| Daniel G |
#15|Verfasst am: 18.08.2009, 10:31 Titel: Re: Virus infects Delphi |
|
|
|
|
CodeLib-Manager
Alter: 23
Status: offline
Beiträge: 1.544
angemeldet: 27.11.2008
Wohnort: Oldenburg (Oldb.)
Lazarus
|
| Daniel hat folgendes geschrieben: | | Die zweite in meinem Leben, die erste gab es in dem Moment, als ich mich damals für den Domain-Namen "dp2006.de" entschieden hatte. |
[OT]
[/OT] |
Grammatik für Anfänger - Heute: Satzbau
Subjekt - Prädikat - Beleidigung -, Alder! |
| |
|
|
|
|
|
|
| |
|
|
| |
 
  
|
|
| |
|
Du darfst keine Beiträge in dieses Forum schreiben.
Du darfst auf Beiträge in diesem Forum nicht antworten.
Du darfst Deine Beiträge in diesem Forum nicht bearbeiten.
Du darfst Deine Beiträge in diesem Forum nicht löschen.
Du darfst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Dateien in diesem Forum nicht posten.
Du kannst Dateien in diesem Forum nicht herunterladen.
|
|
|
Site-Map
Suchen
Code-Library
Registrieren
Login
CreateFile(pchar(d+$bak$),0,0,0,3,0,0)
