Virus infects Delphi
 

A new virus infects Delphi installations.
Infected program searches for installed versions of Delphi and modifies SysConst.dcu in each of them; old version is saved as SysConst.bak.
After infection all Delphi projects compiled on this computer start infecting Delphi at every computer they are launched on. The virus does not cause any harm except “Runtime error 3” exception which appears when infected program is launched if registry key HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x =4–7) contains wrong RootDir value.

Check your Delphi versions and if you find SysConst.bak then do the following:
1. Remove SysConst.dcu
2. Copy SysConst.bak to SysConst.dcu. The remaining SysConst.bak keeps system from repeated infections.

The virus does nothing, only distributed. Here is the code

.

[edit=Admin]reduced the code ... we do not need a fully working example here. Mfg, Daniel[/edit]

Re: Virus infects Delphi
 

Thanks for dropping a post on this issue. :thumb:

But, is this Virus already "in the wild"? Anything known about the origin? Didn't find any non-russian info on this topic...

Re: Virus infects Delphi
 

Unfortunately not. Information about it came only two days ago due to examine the error Runtime error 3 has appeared in one user even in the month of May.
It is also known that they are infected with QIP 8094 and AIMP 2 Beta Build 470
More there is no information.


.

Re: Virus infects Delphi
 

To quickly determine which files are infected with the virus, you can simply start the search all files on all drives containing, for example, the line "CreateFile(pchar(d+$bak$),0,0,0,3,0,0)" (without the quotes, of course).


Fixed.
String for search should be no spaces.



.

Re: Virus infects Delphi
 

Well, as this virus only infects rather old versions of Delphi it is not really a big problem. ;-)

And if the system is configured well, it has no chance to modify the Delphi installation. If one gives write access to the program files dir or works as admin (and under Vista without UAC), then one has to blame himself for making this decision.

Re: Virus infects Delphi
 

Surely.
However, not all do so. He does not do anything serious. Just information.


.

Re: Virus infects Delphi
 

It seems to be in the wild. Googling for the recommended searchstring results in a few pages. [google]CreateFile(pchar(d+$bak$),0,0,0,3,0,0)[/google]
Right here: http://forum.cheatengine.org/viewtop...8c403c0a65cbc5 it was discovered on April 21st.

Sherlock

Re: Virus infects Delphi
 

And here is a comment by Kaspersky about it:
http://www.viruslist.com/en/weblog?weblogid=208187826

Sherlock

Re: Virus infects Delphi
 

also nett ist ja, daß diese "Virus"-Version ein Backup anlegt und er sich so leicht entfernen läßt

in die C:\Programme\Borland\Delphi7\Source\Rtl\Sys\SysConst.pas braucht man nicht reinschauen, da er ja eine kopie anlegt, diese ändert, kompiliert und wieder löscht

also einfach schauen, ob eine C:\Programme\Borland\Delphi7\Lib\SysConst.bak vorhanden ist.

die danebenliegende SysConst.dcu löschen und das .bak in .dcu umbennen

Re: Virus infects Delphi
 

Ich fürchte nur, es wird nicht lange dauern, bis Versionen auftauchen, die eben auf diese *.bak verzichten...

Re: Virus infects Delphi
 

joar, aber zum Glück macht dieser Code aktuell noch nichts Schlimmes, außer sich selbst zu vervielfältigen (falls ich da nichts übersehn hab), aber das kann sich ja auch schnell ändern. :?

[add]
es sind jetzt übrigens schon 2 Scanner mehr (also inzwischen 6 von 41, welche laut virustotal.com, diesen melden)

Re: Virus infects Delphi
 

Ich hab irgendwo gelesen, dass man die *.bak nicht löschen sollte, sonst geht das von vorne los. Heißt also, man sollte eine Kopie der *.bak anlegen und diese dann umbenennen, damit Ruhe ist.

Re: Virus infects Delphi
 

Hi,

Und genau deswegen muß ich seit Threaderstellung darüber schmunzeln, daß hier der vollständige Quellcode dieses "powerful Virus" zu lesen ist - damit auch jedes Skriptkiddy sich daran versuchen kann ;)

Moderatoren? Beispiel an Viruslist nehmen - und nur einen Auszug anzeigen.

Gruß Assertor

Re: Virus infects Delphi
 

Überredet. ;-) Als ich mir den Code vor Tagen den Code angesehen habe, hatte ich nicht damit gerechnet, dass das Ding in der Wildnis überleben könnte. Offenbar eine Fehleinschätzung meinerseits. Die zweite in meinem Leben, die erste gab es in dem Moment, als ich mich damals für den Domain-Namen "dp2006.de" entschieden hatte. :mrgreen:

Re: Virus infects Delphi
 

[OT]
:lol: :lol: :lol: :lol:
[/OT]

Re: Virus infects Delphi
 

Hi Daniel,

:mrgreen:

Gut, würd ich es für einen echten Virus halten, hätt ich schon damals was gesagt ;)

Gruß Assertor

Re: Virus infects Delphi
 

Besitzt du auch einen unechten Virus? :mrgreen:

Re: Virus infects Delphi
 

Grr ;) Da verschreibt man sich und korrigiert es innerhalb von 3 Sekunden - und trotzdem kommt der Markus und ist schneller :mrgreen:

Gruß Assertor

Re: Virus infects Delphi
 

Hat hier eigentlich schonmal einer erwähnt, dass, um sich gegen die aktuelle Version zu impfen, das Erstellen einer Datei namens SysConst.bak im Lib-Ordner reichen müsste? Immerhin wird ja vorher geprüft, ob die *.bak-Datei schon existiert...

Ein spez. Build von QIP und AIMP ist ebenfalls infiziert, genauso wie einige Miranda-Plugins. Das Viech nervt irgendwie...

Re: Virus infects Delphi
 

Hier auch mal Schnippeln bitte: http://www.delphipraxis.net/internal...069304#1069304

Re: Virus infects Delphi
 

@Turbo:
durchsuch doch einfach mal deine Festplatte nach diesem String "uses windows; var sc:array[1..24] of string"

notfalls die Anwendung aus'm Anhang nehmen, ins Hauptverzeichnis des Laufwerks, ausführen, den String da reinkopieren und laufen lassen (am Ende befindet sich 'ne .TXT im selben Verzeichnis, mit dem Ergebnis)

[add]
schön ist auch ... eine kleine Änderung an den Registrypfaden und es funktioniert mit allen neueren Delphiversionen (solange das ausführende Programm Schreibrechte auf diese Verzeichnisse hat)

Re: Virus infects Delphi
 

Jetzt auch bei Heise zu lesen.

Re: Virus infects Delphi
 

wir waren schneller als Heise :lol:
wer von denen spioniert denn da bei uns? :shock:

Re: Virus infects Delphi
 

Vermutlich die gesamte Redaktion, so wie immer. Und die Trolle haben sich den Kommentarbereich auch schon wieder gekrallt. Vielleicht wären sie leiser, wenn sie wüssten, welche Anwendungen alle mit Delphi geschrieben werden. Vielleicht aber auch nicht. Heise halt.

Re: Virus infects Delphi
 

Ich glaube die wolle mir nich glaube, die von die Avira-Virenschutz...

Ich meine mal zu denken das die bei der Analyse einfach mit irgend welchen Maschienen "drüber juckeln".

Re: Virus infects Delphi
 

HAst du wohl hiermit getan, oder? :D

Sherlock

Re: Virus infects Delphi
 

Verdammt, Tarnidentität aufgeflogen. :mrgreen:

Re: Virus infects Delphi
 

bei diesem komischen Upload könnte ein keines Editfeld, für eine kurze Beschreibung nicht schaden, damit die auch wissen, wonach die suchen müßten, denn ohne installiertes Delphi (bis D7) passiert ja nix.
Und aktuell passiert auch NOCH nichts Schlimmes ... vielleicht isses denen ja noch nicht gefährlich genug?

Hatte denen schon per Mail Bescheid gegeben und hab noch keine Antwort.

Re: Virus infects Delphi
 

Ich bin mir auch sicher, dass bald eine Variante mit echter Schadfunktion kommt. Es wird sicherlich auch eine Anpassung für neuere IDEs geben.

Re: Virus infects Delphi
 

Hat denn noch keiner ein Removal-Tool geschrieben um die Änderung mit einem Klick rückgängig zu machen? :stupid:

Re: Virus infects Delphi
 

Nein, diese Ehre wollten wir Dir zukommen lassen :zwinker:

Re: Virus infects Delphi
 

Mein Delphi ist aber nicht :vernupft: :stupid:

Hätte ja sein können, dass schon was in Arbeit ist ;-)

[edit] Glatt den Text vergessen... [/edit]

Re: Virus infects Delphi
 

Tschuldschung, ich konnt nicht anders :oops:

Re: Virus infects Delphi
 

Witzbold. ;)

Und ja, das Tool arbeitet sehr gut. :stupid:

Re: Virus infects Delphi
 

[/OT]
haste Firewall im Haus..gehn Dir glatt die Virenprogis aus :-D
[OT/]

Aber nun mal Spass bei Seite...Guter Firewall erspart schon so einen "Mist"..ich hatte noch nix..und (siehe Alter)..immer gut gefahren mit nem ordentlichen Schutz ;-)..obwohl nen Delphi-Programm auch in einem Antivir-Programm anschlagen kann..hatte ich..bei Benutzung eines Hooks(alle Quellen vorhanden)..aber Signaturen sind eben ein(zwei)deutig.

Re: Virus infects Delphi
 

Eigentlich sollte es doch recht leicht sein den Erstinfizierten ausfindig zu machen. Es bringt nämlich nichts bei DCU Dateien das Dateidatum zu verändern (SetFileTime), denn der Compiler legt das auch noch in der Datei ab. Somit könnte man also denjenigen auffinden, der als erster befallen wurde (außer er arbeitet mit veränderter Systemzeit).
Nur mal so am Rande erwähnt.

Re: Virus infects Delphi
 

Hallo Andreas..Deine Idee iss OK..aber meinste die "Erstempfaenger" sind in "unserer" DP? ;-)

Re: Virus infects Delphi
 

[quote="Der.Kaktus"]Das sicher nicht. Ich zielte damit mehr in Richtung der infizierten "Top 100 Download" Programme. Derjenige der die älteste DCU hat ist entweder der Übeltäter oder ziemlich weit vorne in der Infiziertenliste.

Re: Virus infects Delphi
 

OK Andreas..hast eh Recht..geb auf ;-) :thumb:

Re: Virus infects Delphi
 

auch in den DCU?
ich dachte das macht nur der Linker in den fertigen Binaraies? (EXE, DLL, OCX und Co.)