Re: Virus infects Delphi
 

Urrgghhh....

komme heute zum ersten Mal wieder in die Firma und Sophos hat alle meine letzen Tools gelöscht, da ist die Freude groß.

Hab jetzt mal alles Seiten hier durchgelesen, einen richtigen Schutz gibt es wohl leider nicht...

Die Sysconst.pas wird ja immer dann, wenn ein Sytem befallen werden soll als Temp im \lib Verzeichnis gespeichert. Ich habe mit jetzt ein Verzeichnis mit diesem Namen angelegt, jetzt kann ich den Runtime-Error unterscheiden, es kommt dann Runtime-Error 5.
:cry: So hab versucht ein Projekt neu zu erstellen, mit meiner Lösung sagt er aber, dass er die Sysconst.pas nicht findet, war also nix :cry:

Wäre es nicht möglich, da ich auch die schönen Ideen mit den Prüfsummen gelesen habe, einen Wrapper für die DCC32 zu schreiben, der die Commandline-Parameter überprüft, ob eine System DCU neu erzeugt werden soll und dies ggf verhindert ?

Gruß
MrOuzo

Re: Virus infects Delphi
 

Im Notefall gibt es noch einen einfachen Schutz gegen diese Art von Virus:

Dieser Virus benötigt ja einige Voraussetzungen, um eine DCU erstellen zu können
und wo man eingreifen kann.

* er benötigt Schreibzugriff auf das Lib-Verzeichnis
> einfach via Windows/Datei-/Rechtesystem die nötigen Rechte nehmen
= keine Schreiberechte für den angemeldeten Benutze und laufende Programme auf dieses Verzeichnis

* er benötigt Zugriff auf den Komandozeilenkompiler
> wenn man diesen nicht benötigt und nur via IDE kompilert, dann könnte man diesen (DCC32.exe) löschen/umbenennen
> würde ich aber nicht empfehlen, denn z.B. der JEDI-Intaller benötigt diesen auch

* er benötigt Zugriff auf die SysConst.pas
> man könnte jetzt also einfach diese löschen/umbenennen
> oder erst garkeine Delphi-SourceCodes installieren
= benötigen tuen Viele diese Dateien doch eh nicht (ich schau aber gern mal rein)

* aktuell schaut er noch nach, ob eine SysConst.bak im Lib-Verzeichnis liegt
> wenn ja, dann geht er davon aus, daß er schon installiert ist
> also einfach eine SysConst.bak anlegen und er installiert sich nicht
= aber ob das zukünftige Versionen auch noch so machen, ist mehr als fraglich

* man könnte auch die Dateien überwachen (Tool siehe im anderen Virus-Thread)
> das schützt zwar nicht vor Veränderung/Befall,
> warnt aber einen wenigstens, wenn es doch passiert ist

Re: Virus infects Delphi
 

Nachdem ich gerade noch einmal auf den Thread aufmerksam gemacht wurde habe ich es gerade im virtuellen PC mit einer frischen Installation ausprobiert. Mit einer sauberen Installation kann ich das nicht reproduzieren, da zeigt sich mir das erwartete Verhalten: Ich bekomme als eingeschränkter Benutzer angezeigt, dass ich den Besitzer nur anzeigen kann. :gruebel:

Re: Virus infects Delphi
 

Der Virus hat es in den SW-Olymp geschafft. Er wurde von der c't verteilt

Re: Virus infects Delphi
 

Japp, und in den Foren kommen wieder alle die zu Wort, die mal wieder keine Ahnung haben... ;)

Re: Virus infects Delphi
 

... und nicht "richtig" lesen können...

Re: Virus infects Delphi
 

Was meint Ihr damit ?

Re: Virus infects Delphi
 

Das Heimatland der Trolle, die Heise-Foren.

Zum Beispiel das hier, oder das, oder dieses und jenes

Das Übliche halt. ;)

Re: Virus infects Delphi
 

Hätte mich auch stark gewandert, wenn das ging.

Re: Virus infects Delphi
 

Hallo,

sorry dass ich dieses Thema wieder aufgreifen muss - aber anscheinend lebt dieser Virus wieder/noch.

Ich hatte in den letzten Tagen ein paar Komponenten von Torry runtergeladen und ausprobiert und irgendwann maulte mein Virenscanner eines meiner eigenen Programme an.
Zuerst dachte ich nur es läge an einer bestimmten Code-Konstellation in diesem Programm und dachte mir nichts weiter dabei, aber als ich vorhin ein anderes Programm öffnete und kompilierte und sich danach mein Virenscanner sich wieder zu Wort meldete und das kam mir schon komisch vor.

Ich hab mich dann auf diese Suche nach diesem Thread gemacht und auch nach dem Lösungsweg dieses Problems - aber ich hatte keine SysConst.bak!!
Gott sei Dank hab ich den kompletten Delphi7-Ordner gleich nach der Installation auf einen anderen Datenträger kopiert und konnte so die ganzen Dateien im LIB-Ordner austauschen. Daraufhin gab mein Virenscanner nach einer Neukompilierung Ruhe.

Re: Virus infects Delphi
 

Auf die Gefahr hin, dass das in diesem Thema schon irgendwo steht:
Ist eigentlich bekannt, woher der Virus kommt?

Bitte keine Witze, wie "von MS, um Delphi zu verdrängen" o.ä. ;)

Re: Virus infects Delphi
 

Aber dene würd man es zutrauen :-)

Re: Virus infects Delphi
 

Oh GÄHN.

Re: Virus infects Delphi
 

du hast recht bei torry sind einige compos infiziert. hatte das auch schon. :(

Re: Virus infects Delphi
 

Schick mir doch mal deine SysConst.pas - aber bitte als PM oder direkt an olaf at monien dot net -*bitte NICHT öffentlich posten, damit sich das nicht unnötig verteilt.

Ich kucke dann mal ob die was ungewöhnliches enthält.

Re: Virus infects Delphi
 

SysConst.pas - ist nicht so wichtig, da sie vom Compiler nicht verwendet wird und dort der "Virus"-Code auch nicht enthalten sein muß (abgesehn davon, daß man ihn da beim Debuggen schnell mal entdecken könnte) ... die SysConst.dcu ist da eher der wichtigere Ort.

Nja, Ich denke mal, diese kleinen "Viren" werden noch ganz lange am Leben bleiben, da sich bestimmt immer irgendwo einer halten und weiter verbreiten kann, solange wir mit Delphi arbeiten.

Re: Virus infects Delphi
 

Ich kann sie dir nicht zuschicken, da ich alle Dateien im LIB-Ordner gleich überschrieben hab - sorry

AW: Virus infects Delphi
 

Sorry wenn ich so ein altes Thema wieder hervorhole.
Ich bin mir nicht sicher ob ich betroffen bin, da ich keine .BAK Datei im Lib Ordner finde, aber alle anderen Anzeichen deuten darauf hin.
Habe Delphi 7 auf einem alten XP Rechner noch installiert, da ich so ne Art Altanwendung noch am Laufen halten muss. Jetzt habe ich letzte Woche eine kleine Änderung einer Eigenschaft gemacht, kompiliert und auf einen Win7 Rechner kopiert. Der Virenscanner schlägt nur bei einem Download der Datei an, nicht aber wenn ich die von einem USB Stick kopiere. Versuche ich diese auszuführen, bleibt die Anwendung hängen, erzeugt 3 Prozesse mit 104K Arbeitsspeicher, öffnet aber die Anwendung nicht.
Öffne ich eine andere komplilierte Datei die schon seit Jahren bei mir auf dem Win7 Rechner ist, tut die auf einmal das gleiche...
Ich weiß mir grad nicht zu helfen! Was kann ich tun?
Auf dem alten XP Rechner mit Delphi 7 funktionieren die alle

AW: Virus infects Delphi
 

Lad die Exe doch mal auf Virus Total hoch.

AW: Virus infects Delphi
 

Hatte das Problem auch bei einer exe die nur mit sha1 signiert war.

AW: Virus infects Delphi
 

Totalvirus meldet nichts.
Selbst die mit Macrovision erstellte Setup bildet 3 neue Prozesse mit 108K Arbeitsspeicher. Starten tut aber nichts. Ich versteh grad gar nix mehr

AW: Virus infects Delphi
 

Hallo,
ab dem 01.01.2016 bringt der Internet Explorer eine Warnung, wenn eine Exe
ohne SHA-256 Signierung heruntergeladen wird.

Lade die Datei doch mal testweise mit Firefox herunter.


Heiko

AW: Virus infects Delphi
 

Hat nichts mit dem Herunterladen selbst zu tun.
Ich kompiliere die Datei auf dem XP Rechner, dort startet diese auch so wie sie soll.
Dann kopiere ich die neue Exe auf einen Win7 Rechner, und ersetze die aktuelle Version.
Daraufhin kommt nur die Sanduhr und wenn ich in die Prozessliste schaue, steht die Anwendung dort 3x als Prozess und tut nichts mehr. Verwende ich die Vorgängerversion dann geht es. Die Änderungen zwischen den beiden Versionen ist nur eine Veränderung einer Eigenschaft an einem Grid gewesen...

AW: Virus infects Delphi
 

Hallo,
OK,
und wenn die diese Änderung wieder zurücknimmst?

Wir signieren unsere Exe'n immer per SignTool mit einem Code-Sign-Zertifikat (ab 01.01. mit SHA-256).

Damit meldet sich auch kein Virenscanner mehr und sagt "Delphi-Trojan" (oder ähnlich).


< Öffne ich eine andere komplilierte Datei die schon seit Jahren bei mir auf dem Win7 Rechner ist, tut die auf einmal das gleiche... >
Das wäre ja eine 2. Baustelle.
Passiert das auch auf einem anderen Win7-Rechner?
Hast du mal einen Neustart geamcht und dann nur diese "die schon seit Jahren bei mir auf dem Win7 Rechner ist"-Datei gestartet?

Virenscanner ausschalten/deinstallieren wurde ja bereits gesagt (?).



Heiko

AW: Virus infects Delphi
 

Ähm, aktueller Stand: Ich glaubs ja nicht.
Es liegt am Avast Virenscanner. Ich habe diesen mal deaktiviert und dann die Anwendung noch mal ausgeführt.
Dann ging es! Avast hat mir aber nicht mal eine Meldung gegeben das er aktuell etwas blockiert!
Es wurden wie gesagt 3 Prozesse meiner Anwendung angezeigt, aber es ist nichts weiter passiert...
Bei Virustotal ist meine Exe auch sauber?!?!? Hä??? (habs zwar jetzt in die Ausnahmeliste aufgenommen, aber das kann doch nicht sein?!)

AW: Virus infects Delphi
 

Die Vorgängerversion ist übrigens gelaufen ohne das ich dafür eine Ausnahme erstellen musste.
Aber bei einem alten Editor (den ich mal vor Jahren programmiert habe und auch seit Jahren auf dem Win7 Rechner liegt, ging es auch nicht). Der ging aber vor ein paar Wochen noch.
Also entweder ist ein Virenupdate von Avast daran Schuld oder ich habe keine Erklärung!

AW: Virus infects Delphi
 

Auch wenn es jetzt mehrfach geschrieben wurde: Signierst Du mit SHA 256?!?
Falls nicht wird das sehr wahrscheinlich Dein Problem lösen. Avast hat bei uns auch seit diesem Jahr exen die nur mit SHA1 signiert waren geblockt. Ohne Meldung.

AW: Virus infects Delphi
 

Nein, ich signiere nicht. Ich weiß ehrlich gesagt auch gar nicht wie das geht.
Da brauch ich wohl ein Zertifikat z.B. von VeriSign oder so ähnlich? Oder ist das ganz einfach?
Die Vorgängerversion die nicht signiert war lief auch problemlos, ich habe keine Ahnung warum auf einmal ein paar Anwendungen geblockt werden, und dann auch noch ohne Meldung...

AW: Virus infects Delphi