Re: Virus infects Delphi
 

Grundsätzlich sind alle Programmentwicklungssysteme bzw. Compiler betroffen, die externe Dateien in das fertige Kompilat linken, wobei diese externen Dateien überschreibbar sind. Auch Interpreter wären betroffen, wenn sie implizit irgendwelche Startup-Skripte verwenden (die widerum nicht ausreichend geschützt sind).

Nur Systeme, die gänzlich ohne Zusatzbibliotheken auskommen, sind sicher(er). Wobei dann nur noch der Angriff auf den nackten Compiler bliebe.

Edit:
Lustig, wer da die neue verseuchte Demoversion gepostet hat... (letzter Beitrag). :mrgreen: Nachtigall, ick hör Dir trapsen? :zwinker:

Re: Virus infects Delphi
 

@mkinzler: ich hatte zwar schon per PM eine kleine Diskussion dazu mit himitsu, wo er mein "gering" etwas entkräftet hat, aber hier meine Gedanken dazu:

Der Pfad zum Compiler steht nicht in der Registry. Wenn man Lazarus installiert hat, kann man allerdings entweder in dessen Einstellungen nachsehen (die man in den Anwendungsdaten erst suchen muss) oder sich die Einstellungen anhand des Unistallerpfads in den Registry Einstellungen des Installers zusammenreimen.
Bei ersterem ist das Problem, dass eventuell diese Einstellungen gar nicht verwendet werden (und damit möglicherweise nicht korrekt sind). Dies passiert zum Beispiel dann, wenn man Lazarus (per Kommandozeilenparameter) anweist eine andere Konfiguration zu verwenden (es gibt Gründe dafür).
Der zweite Fall ist problematisch, wenn nicht der mitgelieferte Compiler verwendet wird (z. B. 2.3.1 statt 2.2.4). Liegt diese alternative Version dann auch nicht im Verzeichnis %lazarus%\fpc, dann hat man Pech ghabt, da ein anderer Compiler irgendwo im System verwendet wird.
Eine weitere Möglichkeit wäre es den Compiler per PATH zu finden, unter Windows ist dies allerdings nicht standardmäßig der Fall.

Hat man den Compiler dann gefunden ist noch das Problem eine passende Unit zu finden, allerdings bin ich davon ausgegangen, dass ich eine Unit benutze, die immer eingebunden wird (System.pas oder ObjPas.pas) und diese um ein Include erweitere. himitsu hat mich allerdings darauf aufmerksam gemacht, dass man auch eine seltenere Unit verwenden könnte, was zwar das Ausbreitungspotential senkt, aber trotzdem funktioniert.

Wenn man dann eine passende Unit gefunden hat, muss man diese noch so modifizieren, dass die Programme weiterhin kompilieren (sonst wirds mit der Ausbreitung nichts). Der letzte Punkt trifft aber sowohl auf FPC, als auch Delphi zu. Ich denke ich muss selbst mal mit dem Virus rumspielen, um das genauer zu verifizieren :gruebel:

Am Ende muss man, wenn man FPC wirklich hart treffen möchte, das ganze auch noch plattformunabhängig schreiben.

So... das ist meine Begründung für meine These. Nun zerfleischt sie :mrgreen:

Gruß,
Sven

Re: Virus infects Delphi
 

Hi Daniel, hast du noch irgendwo das Original? Ich hätte da so eine Idee wie man das Dingen evtl. abwehren kann ...

Re: Virus infects Delphi
 

Hallo Olaf, habe dir den Code geschickt.

Re: Virus infects Delphi
 

Jetzt werden die Dinger schon frei Haus verkauft. :stupid:

Naja, das Teil findet man ja leider immer noch im Netz.

Re: Virus infects Delphi
 

Und in den infizierten Exen

Re: Virus infects Delphi
 

Danke, ist angekommen. Falls meine Idee funktioniert poste ich das hier ...

Re: Virus infects Delphi
 

Jo, aber echt - Ich kucke dann mal wieviel ich dafür auf eBay bekomme :-P

Mir schwebt so eine Art "AntiVirus" unit vor, die beim Programmstart nix anderes macht, als nach bestimmten "Signaturen" zu suchen (also konkret nach dem was wir derzeit über diesen einen Virus wissen) und sich dann mit einer EVirusInfection Exception meldet, so dass man zumindest neukompilierte Delphi Programme schützen kann eine infizierte Unit einzukompilieren.

Re: Virus infects Delphi
 

Wäre dann ja auch eine Anregung an CG

Re: Virus infects Delphi
 

Und am besten gleich noch die Selbstheilung draufpacken. :duck: