Re: Virus infects Delphi
 

Ja der Virus wahr wieder da jetzt ist er weg aber einige alte Dateien von ca. 02.08 sollen welche enthalten.

Re: Virus infects Delphi
 

So ein Dreck...
http://www.heise.de/newsticker/Banki...meldung/143755

Alle Delphi-Entwickler sind somit potentielle Schadsoftware-schreiber und gehören überwacht... Vermutlich räumt das BKA gerade mein Arbeitszimmer zu hause aus...

Bessere Werbung zur Einführung von RadStudio 2010 hätte sich Embarcadero nicht wünschen können...

Re: Virus infects Delphi
 

Verbreite nur keine Verschwörungstheorien ... :mrgreen:

Re: Virus infects Delphi
 

Jetzt (bzw. gestern nacht) haben die Avira Leut auch die *.dcu, die ich denen zur verfügung stellte als Virusbefallen eingestuft. Sehr nett.

Hm..., gibt mir was zu denken. :gruebel: :coder: :stupid: :coder: :mrgreen:

Re: Virus infects Delphi
 

ist doch eigentlich perfekt sowas ... selbst wenn der mit Delphi erstellte Trojaner nich durch einen Virenscanner erkannt wurde, dann wird dessen Datei immerhin durch seinen "noch harmlosen" Begleiter entdeckt :angel2:

Re: Virus infects Delphi
 

Armer kleiner kranker Trojaner... :cry:

Besser kann man es eigentlich nicht ausdrücken. Sowas ging mir auch im Kopf vor.. Aber... nein... oder? :mrgreen:

Btw,

Made my day. :mrgreen:

Re: Virus infects Delphi
 

Ich wundere mich nur, warum der Virus eine *.bak erstellt, ist da noch die Testversion im Umlauf? :mrgreen:

Irgendwie ist das Ding ja "nur zum Ärgern".

Re: Virus infects Delphi
 

@Muhkuh

Ich nehme mal an der Autor möchte mildernde Umstände haben, falls er erwischt wird ;) "Hat ja nichts kaputt gemacht und war ja ganz einfach wieder zu reparieren... Hab extra die Originaldatei behalten".

Re: Virus infects Delphi
 

Das ist "nur" ein ShowCase, also eine Machbarkeitsstudie. Es wird damit gezeit, das sowas möglich ist.
Der Quelltext selbst ist wenig optimiert und ohne Schad-Funktion.

Den scheint es ja wohl auch schon länger zu geben. (nur Delphi 4 bis 7 unterstützt)

ABER: Der Imageschaden für Delphi bzw. mit Delphi erstellte Programme ist enorm.

"Delphi, ach, das ist doch die Programmiersprache, die verseuchte Programme erstellt."

Das finde ich sehr schade. Und ich glaube, das lag auch nicht in der Absicht des Programmierers des Virus.
Ich hoffe, dass die das nicht allzu schlimm auf CodeGear/Embarcadero auswirkt.


Ich gebe Muhkuh also recht, wenn er schreibt:

mfg
MaBuSE

Re: Virus infects Delphi
 

Wobei (wie schon gesagt) dieses Vorgehen auch bei anderen Entwicklungsumgegbungen anwendbar wäre.
(man braucht die C-Version dieses Codes in gewisse C-Header-Dateien einschmuggeln und oftmals bräuchte man da dann nichtmal was compilieren, da viele der Headerdateien ja direkt verwendet werden)

Re: Virus infects Delphi
 

Mach Doch!
"Die Rache Der Delphianer": Wenn er dir auf die eine Backe schlägt, dann schlage kräftig zurück.

Re: Virus infects Delphi
 

Mann, mann, mann, schlimm genug das irgend so ein hirngeschädigter Fachidiot so einen Mist in die Welt setzt. Und jetzt den gleichen Mist den "C-Leuten" ins Nest setzen????

Das muß doch wahrhaftig nicht sein?!

Gruß
K-H

Re: Virus infects Delphi
 

Das Dingen ist auch schon länger in der Welt, ich habe gerade eine DCU gesehen, die wurde am 03.07.2009 befallen

Re: Virus infects Delphi
 

Hallo,

könnt Ihr bitte aufhören auch noch Trittbrettfahrer zu animieren, so einen Blödsinn zu machen!

Besser währe es, wenn wir erarbeiten, wie man das Ganze verhindern kann und wie man vorgehen soll, wenn man sich den Virus gefangen hat.

Bis bald Chemiker

Re: Virus infects Delphi
 

Das stimmt schlicht nicht, dass man dort Schreibrechte braucht. Wer keine Ahnung bzw. Lust zum Testen hat, machts einfach, es reicht aber auch einfach das Arbeitsverzeichnis zu ändern... (zumindest bei Delphi 7, was noch älteres hatte ich keine Lust zu testen)
Mehr zu D7 unter Vista habe ich hier geschrieben:
http://www.delphi-library.de/viewtopic.php?p=544403
Ich hatte Delphi 7 extra zum Testen nochmal in einem sauberen Vista installiert und wie man auch in dem Demovideo sehen kann funktioniert es danach ohne Adminrechte oder Schreibrechte im eigenen Verzeichnis vollkommen problemlos. :cyclops:

// EDIT:
Nicht den Fehler machen als Admin bzw. unter Vista ohne UAC zu arbeiten, fertig... :zwinker:

Re: Virus infects Delphi
 

Ich denke das ist doch klar ? Die Bak über die DCU kopieren und gut ist

Re: Virus infects Delphi
 

Das wird sich aber höchstwahrscheinlich mit Version 1.1 ändern.

Re: Virus infects Delphi
 

Ich denke auch, das war wahrscheinlich nur ein "Testballon".

Re: Virus infects Delphi
 

Wenn ich die Zeile :
richtig interpretiere, hätte sich das Virus eigentlich gar nicht ausbreiten können. 3 ist OPEN_EXISTING
Aber mit dem Testballon habt ihr wahrscheinlich recht. Und das wird nicht nur mit Delphi gemacht werden :cry:

Re: Virus infects Delphi
 

guinnes, mit der Zeile und der folgenden testet er nur, ob die Datei bereits existiert. Arbeiten tut der Virus mit den Pascal-herkömmlichen Varianten (assignfile, reset, rewrite).

Re: Virus infects Delphi
 

Die werden bestimmt genau durch diesen Beitrag auf die Idee kommen. :wall:

Re: Virus infects Delphi
 

prüfen ob du ihn dir eingefangen hast:
#21 > http://www.delphipraxis.net/internal...069971#1069971

entfernen:
#33 > http://www.delphipraxis.net/internal...070123#1070123

und verhindern:
- nicht als ständig Admin arbeiten
- bzw. keine Schreibrechte in OPrdnern, wo sie nicht nötig sind
also in diesem Fall dürfen laufende Programme keine Schreibrechte in %delphi%\Lib\ haben
Da die älteren Delphis aber Daten im Programmverzeichnis speichern, müssen "leider" mindestens die Ordner \Bin und \Projekte freie Schreibreche besitzen

Re: Virus infects Delphi
 

Das ist richtig, aber was tut dann das : Ungültiges Handle -> mach weiter, sonst mach dich vom Acker

Re: Virus infects Delphi
 

wurde die .bak gefunden, dann schließe das geöffnete Handle und mach nichts weiter

praktisch: "ich bin schon installiert und brauch es nun nicht nochmal zu machen"

Re: Virus infects Delphi
 

Jo, das ist das, was bereits mehrfach beschrieben wurde: Wenn die bak bereits existiert (ergo: Virus ist schon installiert), dann kannst du die Sache abbrechen.

(Aber ich denke, wir wollen den Code jetzt nicht weiter im Detail erörtern :zwinker: ; mit dir aber gerne per PN)

Edit: ging an guinnes

Re: Virus infects Delphi
 

Hallo,

Beiträge in den anderen deutschen Delphi – Foren:

Delphi Treff


Entwickler Ecke

Bis bald Chemiker

Re: Virus infects Delphi
 

Das mag für Delphi 6 oder früher gelten, für Delphi 7 definitiv nicht. Das funktionierte bei mir unter Vista bei Tests vollkommen problemlos mit UAC und ohne Rechte zu verändern, wenn man es richtig macht (Arbeitsverzeichnis setzen und einmal als Admin starten)...
http://www.delphi-library.de/viewtopic.php?p=544403
(Wobei ich irgendwelche speziellen Funktionen nicht getestet habe, aber alles "Normale" ging problemlos.)

Re: Virus infects Delphi
 

Jungs, das ist ja schrecklich! Der Virus scheint wohl ein PoC zu sein, da kann man sich auf einiges gefaßt machen.

Zum Glück hat sich ein Delphi-Virenschreiber (ein fleißiger noch dazu), von den Delphi Viren verabschiedet und sich nun C++ und C# zugewand. Ich fürchte aber bei den Göttern, daß hier wohl bald einige jünger in seinen Fußstapfen treten werden.

Von daher, immer schön aufpaßen und die Sicherheitsmaßnahmen verstärken. Für mich hat es den Vorteil, daß es meine Sinne in diesem Bereich schärft.

Wünsche allezeit frohes und Viren freies programmieren.

Re: Virus infects Delphi
 

Ich habe meinen Programmen selbst das Recht genommen, eigene Programmdaten zu verändern. D.h. die Sicherheitseiteinstellung der Ordner und Dateien ist so eingestellt, dass kein Benutzer darin Dateien verändern kann.
Bei Delphi7 ist es leider so, dass man da einige Ausnahmen machen muss. Aber zumindest den src und lib Ordner kann man so sichern.
Wichtig dabei ist allerdings, dass man selbst kein Admin ist. Damit ich auch Delphi7 als Admin nutzen kann und das Programm trotzdem nicht ändern kann, hat die Administratorengruppe in den Dateirechten auch nur Lesezugriff. Wenn man dann noch die Dateibesitzer auf z.b. SYSTEM ändert, kann ein Administrator nur mit erhöhtem Aufwand Dateien ändern. Dies wird auch bei Vista und dem Windowsordner angewandt. Natürlich hält das einen informierten Programmierer nicht ab, die Sicherheit zu ändern. Aber nicht jeder hat Ahnung wie das geht.
Es ist natürlich auch möglich dem einen Riegel vorzuschieben, vorrausgesetzt man macht sich die Arbeit, seine Programme mit einem angepassten Administratoraccount zu starten. Besitzt der Admin nämlich nicht das Privileg, der Besitzer eines Objektes werden zu können, ja dann erfordert das Ganze schon erheblich mehr Aufwand.

Letztendlich zeigt es aber doch, dass man nicht als Administrator entwickeln sollte, wenn dies zu vermeiden ist.

Re: Virus infects Delphi
 

Banking-Trojaner mit Delphi-Virus infiziert
:mrgreen:

Re: Virus infects Delphi
 

Sehe ich das falsch: Der "Virus" ändert den Quelltext der .pas-Datei, nicht die .dcu-Datei?

Edith meint: Wie käme er sonst in die verschiedenen .dcus für verschiedene Delphis rein?

Zur Beseitigung also einfach die .bak mit Notepad öffnen und als .pas speichern, oder?

Dann einmal Shift+F9 in Delphi und gut, denke ich mal?

Hab' ich da irgendwas irgenwo in diesem PanikFred überlesen?

42 (Don't Panic)

Re: Virus infects Delphi
 

Hm,

?

so wie ich das verstanden habe:
Die dcu löschen und die .bak Kopieren und die Kopie in dcu umbenennen.

Somit existiert eine dcu + bak und in Version 0.0.0.0.0.0.9999
des Virus sorgt das für Ruhe.


Heiko

Re: Virus infects Delphi
 

Oh man, dieser Virus zieht momentan wirklich enorme Kreise. Erschreckend! :shock: (watt bin ich froh, dass ich mittlerweile auf OSX und Xcode umgestiegen bin; für die Hand voll OSX-Entwickler wird sich wohl niemand die Mühe machen, solch einen Virus zu schreiben)

Hat sich eigentlich schon irgendwer gefragt, weshalb dieser Virus explizit auf Delphi 4 - 7 aus ist, obwohl schon die ein oder andere neuere Version seit gefühlten Ewigkeiten existiert? Auch für eine womögliche PoC-Version ist das doch recht eigenartig...

Ich wünsche allen Delphianern eine schnelle Genesung und hoffe, dass sich das nicht all zu sehr negativ auf Delphi/CodeGear/Embarcadero auswirken wird; als Aushängeschild taugt das erste Auftreten eines neuartigen Virus nun wirklich nicht.

Re: Virus infects Delphi
 

@invalid_operation:
er legt eine Kopie der .PAS an,
kopiert sich da hinein,
macht ein .BAcKup der .DCU
läßt die .PAS compilieren und erstellt so eine passende .DCU
und löscht am änder die geänderte .PAS wieder

http://www.delphi-forum.de/viewtopic...=575002#575002
das Programm findet auch alle Vorkommen in DCU, EXE, DLL usw., solange es Leserechte auf das Verzeichnis/die Datei hat und die Dateien auch nicht komprimiert oder verschlüssel sind (also kein UPX, Zip und andere Komprimierungen verwendet wurden)

in diesem Fall ist es garkeine große Mühe, da das Verfahren so einfach ist, daß es schon verwundert, daß da noch keiner früher sowas gemacht hat.
Und es ist auf einen Großteil der Programmierumgebungen anwendbar.

Re: Virus infects Delphi
 

Hallo Zusammen...

Zu erstmal: Norton findet den Virus seit heute morgen auch endlich...
Kann ich also Avast wieder deinstallieren...

2. Der Virus war (bei uns) auf einer original CD einer Wetterstation's Software ca. 28.06.09 installiert...

Also gibt es den Virus schon um einiges länger...

Grüsse Frank :coder:

Re: Virus infects Delphi
 

Ich weiß zwar nicht wann die CD gebrannt wurde, aber zum ersten mal wurde es anscheinend, unter ziemlich lustigen/ unwissenden Umständen, am 21.04.09 entdeckt.

Edit:
Wahrscheinlich aber schon am 13.04, da er das Programm ja auch in dem anderem Forum gepostet hat.

Re: Virus infects Delphi
 

ich denk mal, der blieb so lange unentdeckt, da er ja eigentlich (noch) nichts Schlimmes mach ... man also keine Auswirkungen sehen kann.

Re: Virus infects Delphi
 

Hi zusammen!

Unabhängig davon, dass so ein Virus nicht gut zu heißen ist, ist die Art wie sich der Virus verbreitet einfach, aber genial. Ich habe vor einiger Zeit im Internet eine Diplomarbeit zum Thema Selbstreproduktion aus dem Jahre 1980 gefunden, in welcher der Autor so ähnlich vorgegangen ist (übrigens auch in Pascal).

Noch zum Virus selbst:
Wie wahrscheinlich wäre es wohl, dass Free Pascal so ähnlich kompromittiert werden könnte? Ich persönlich denke eher gering (ich führe meinen Gedanken dazu mal nicht aus, nicht dass noch jemand auf dumme Ideen kommt :mrgreen: )

Gruß,
Sven

Re: Virus infects Delphi
 

Und auf was stützt du dich bei dieser These?

Re: Virus infects Delphi
 

Hallo zusammen,

ich habe gerade den Verursacher des Übels auf meinem System entdeckt. Am 03.07. habe ich aus dem Forumsbeitrag von Alois
Animierte Splashform die in seinem Link angegebene Demoversion ausprobiert.
Heute morgen hat mein Virenscanner endlich zugeschlagen und den Schädling entdeckt.