Осторожно! Новый вирус, специфичный для Delphi

← →
Григорьев Антон © (2009-08-12 20:37) [0]

В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса - это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x - от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значение ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса.

Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске - это убережёт систему от повторного заражения.

Кому интересны подробности, могут познакомиться с ними здесь: http://www.delphikingdom.com/asp/answer.asp?IDAnswer=70912

← →
Игорь Шевченко © (2009-08-12 21:11) [1]

Старая версия сохраняется в том же каталоге, что и dcu ? (Lib и Lib\Debug) ?

← →
Григорьев Антон © (2009-08-12 21:19) [2]

> Игорь Шевченко © (12.08.09 21:11) [1]
> Старая версия сохраняется в том же каталоге, что и dcu ?
> (Lib и Lib\Debug) ?

Да. В коде вируса так и написано:
MoveFile(pchar(d+"bak"),pchar(d+"dcu"));

← →
Игорь Шевченко © (2009-08-12 21:32) [3]

Григорьев Антон © (12.08.09 21:19) [2]

Я к тому, чтобы по всем диску не искать. В каталоге turbo delphi 2006 не нашел. Кроме того, почти все мои проекты собираются с run-time пакетами

← →
Художник (2009-08-12 21:41) [4]

мда уж... уже и только что скомпилированным собственным прогам доверять нельзя. :(
Нашел и у себя этот долбанный SysConst.bak. Что характерно не ставил я эту версию qip. А значит эта вирусня уже активно ползает по инету и запросто может мутировать во что-либо более опасное.

← →
DVM © (2009-08-12 21:42) [5]

> Художник

Отошли найденное касперскому, доктору вебу и в ESET

← →
Григорьев Антон © (2009-08-12 21:45) [6]

> Игорь Шевченко © (12.08.09 21:32) [3]
> Я к тому, чтобы по всем диску не искать. В каталоге turbo
> delphi 2006 не нашел. Кроме того, почти все мои проекты
> собираются с run-time пакетами

Забыл сказать: заражаются только версии Delphi с 4 по 7.

← →
Художник (2009-08-12 21:49) [7]

> Отошли найденное касперскому, доктору вебу и в ESET

А толку? раз пошел такой класс вирусов, что позарились на генофонд среды разработки приложений, это даже пофиг какой язык программирования. А значит отныне собирать проекты придется только на голой системе, скажем под вирт. машиной (

← →
KilkennyCat © (2009-08-12 21:51) [8]

> отныне собирать проекты придется только на голой системе

Отныне?! Да это уже сто лет как делать надо...

← →
DVM © (2009-08-12 21:57) [9]

> Художник

> А толку?

Толк определенный будет.

← →
Kerk © (2009-08-12 22:00) [10]

Давным давно далеко далеко в галактике уже бывали вирусы, которые заражали турбо паскаль и турбо си :))

← →
TUser © (2009-08-12 22:01) [11]

D7 + QIP

чисто

А у вирмейкеров появился телепатор, я давно думал - почему нет вирусов, заражающихся через исправление исходников стандартных библиотек. Тут почти тоже.

← →
Piter © (2009-08-12 22:15) [12]

QiP вообще скурвился... Стоит только зайти на его домашнюю страничку... ППЦ...

← →
Piter © (2009-08-12 22:16) [13]

TUser © (12.08.09 22:01) [11]
D7 + QIP
чисто

ну давайте теперь тут будем отписываться все те, кто не заразился )))

← →
DVM © (2009-08-12 22:17) [14]

> Piter © (12.08.09 22:15) [12]
>
> QiP вообще скурвился... Стоит только зайти на его домашнюю
> страничку... ППЦ...

http://habrahabr.ru/blogs/im/66209/

все не так просто

← →
antonn © (2009-08-12 22:47) [15]

прикольно, наконец-то кто то догадался :)

← →
xayam © (2009-08-12 22:57) [16]

меня вообще удивляет почему вирусы часто так избирательно действуют на старые версии программного обеспечения. Складывается нехорошее впечатление, будто заказчики этого вируса сами создатели delph"ей . А чтобы новое покупали/использовали. Выгодно в первую очередь им же. Или это я перебарщиваю?

← →
KilkennyCat © (2009-08-12 22:59) [17]

не перебарщиваешь (ну и словечко),на 80% соглашусь.

← →
antonn © (2009-08-12 22:59) [18]

вероятно юзеров старого ПО больше, чем нового :)
я вот юзаю старую добрую 6 и 7 :)

← →
DVM © (2009-08-12 23:01) [19]

> xayam ©

> Складывается нехорошее впечатление, будто заказчики этого
> вируса сами создатели delph"ей

Программистов таким детским садом меньше всего пожалуй напугать можно и тем более спровоцировать на переход на новые версии.

← →
xayam © (2009-08-12 23:09) [20]

> DVM © (12.08.09 23:01) [19]
> Программистов таким детским садом меньше всего пожалуй напугать
> можно и тем более спровоцировать на переход на новые версии.

не такой уж детский сад, не будет .bak"а в следующей версии вируса, не будет ошибки с реестром и что ты будешь делать? Как вообще узнаешь о его существовании? Устанавливать для этого тяжеловесные антивирусы? Не факт, что найдет, если изменится сигнатура. Не факт, что корректно вылечит.

← →
AlexDan © (2009-08-12 23:20) [21]

> TUser © (12.08.09 22:01) [11]
> D7 + QIP
> чисто
D7 + QIP - есть такая зараза..(
sysconst.bak имеется..

← →
Холивар (2009-08-12 23:24) [22]

>
> Григорьев Антон © (12.08.09 20:37)

Не пользуйтесь qip, пользуйтесь skype

← →
DVM © (2009-08-12 23:24) [23]

> не такой уж детский сад, не будет .bak"а в следующей версии
> вируса, не будет ошибки с реестром и что ты будешь делать?
>

Ясен пень, пойду куплю очередную версию Delphi :)

← →
KilkennyCat © (2009-08-12 23:24) [24]

> DVM © (12.08.09 23:01) [19]

смотря что считать "программистом"

← →
имя (2009-08-12 23:25) [25]

Удалено модератором

← →
xayam © (2009-08-12 23:32) [26]

> Холивар (12.08.09 23:24) [22]
> Не пользуйтесь qip, пользуйтесь skype

нашел че советовать. Закрытый протокол, отличная возможность для скрытого распространения вирусов!

> DVM © (12.08.09 23:24) [23]
> Ясен пень, пойду куплю очередную версию Delphi :)

ни фига не смешно. Противно, что такие методы в ходу у вроде бы цивилизованных людей. А как тут думать прикажете? Delphi 2006 тоже же мог бы заразить, ан не хочет. Откуда ноги растут? Я думаю понятно. Как с этим бороться? Переходить на php :)

← →
Холивар (2009-08-12 23:35) [27]

>>xayam © (12.08.09 23:32) [26]
> Холивар (12.08.09 23:24) [22]
> Не пользуйтесь qip, пользуйтесь skype
>>нашел че советовать. Закрытый протокол, отличная возможность для скрытого распространения вирусов!

Windows тоже закрытая система - тогда ставьте открытый Linux+Wine.

← →
DVM © (2009-08-12 23:37) [28]

> Delphi 2006 тоже же мог бы заразить, ан не хочет. Откуда
> ноги растут? Я думаю понятно

Эмбаркадеро вроде бы D7 продает все еще.

> DVM © (12.08.09 23:37) [28]
> > Delphi 2006 тоже же мог бы заразить, ан не хочет. Откуда
> > ноги растут? Я думаю понятно
> Эмбаркадеро вроде бы D7 продает все еще.

не думаю что им выгодны высокие продажи этой версии при наличии версии для unicode

> Холивар
> Windows тоже закрытая система - тогда ставьте открытый Linux+Wine.

Ну я бы не сравнивал Microsoft с Skype. И соглашусь на счет skyp"а с мнением специалиста по безопасности http://www.xakep.ru/post/38543/default.asp

> xayam ©

> не думаю что им выгодны высокие продажи этой версии при
> наличии версии для unicode

Им выгодны любые продажи чего угодно. Это же продажи!
Продажа D7 даже в перспективе более выгодна, т.к. продают устаревшую версию ПО - раз, подсаживают на средство разработки - два, тем самым повышая вероятность приобретения в будущем новой версии.

В моей VCS эта зараза сидит уже месяц. Это печально.
Будем чистить.
Посоветуйте простую утилитку для контроля изменений в указанных юзером файлах/каталогах (на случай, если идею будут творчески развивать).

> DVM © (12.08.09 23:49) [30]
> Им выгодны любые продажи чего угодно. Это же продажи!
> Продажа D7 даже в перспективе более выгодна, т.к. продают
> устаревшую версию ПО - раз, подсаживают на средство разработки
> - два, тем самым повышая вероятность приобретения в будущем
> новой версии.

ну может быть, спорить не буду, это чисто мое имхо.

> xayam © (12.08.09 23:45) [29]

Не нужно разводить панику :) Защита скайпа достаточно примитивна и подход очень стандартен для более менее желающего казаться защищенным приложения, ты бы посмотрел какие трюки выкидывают реально защищенные программы, старфорс тот-же как пример :) Ну или например несколько наших продуктов используют прямые вызовы sysenter/int2e в обзод кернела и нтдлл (что само по себе достаточно чревато в руках непонимающего что он творит программиста), применяет недокументированные аналоги опкодов (ну например вместо опкода int3 выглядящего как CCh можно использовать байткод CDh,03h), те-же call в середину инструкций, запутывающие анализатор дизассемблера, контроль DR регистров для определения факта отладки, рассчет энтропии шифрованных секций кода для определения факта распаковки части программы. Всего этого в скайпе нет, а сама сабжовая статья рассчитана на начинающих школяров и не несет абсолютно никакой конкретики :)

> Rouse_ ©

> у или например несколько наших продуктов используют прямые
> вызовы sysenter/int2e в обзод кернела и нтдлл (что само
> по себе достаточно чревато в руках непонимающего что он
> творит программиста), применяет недокументированные аналоги
> опкодов ...

Неужели ваше ПО нуждается в такой страшной защите? Это оправдано?

по сабжу - пока забрал права у всех на изменение, удаление, создание файлов в каталоге дельфи, по идее не должен сдохнуть от такого :)

> Неужели ваше ПО нуждается в такой страшной защите? Это оправдано?

Да, нуждается, да оправдано :)

> Rouse_ © (13.08.09 00:10) [33]
> ...Всего этого в скайпе нет, а сама сабжовая
> статья рассчитана на начинающих школяров и не несет абсолютно
> никакой конкретики :)

Заключение Заканчивая статью, я хотел бы спросить: что же все-таки скрывают создатели Skype в недрах своего кода? Почему, распространяя программу бесплатно, они зажимают исходные тексты и используют закрытый протокол, вызывая тем самым недоверие специалистов по безопасности? Для чего бесплатной программе столь навороченная защита, снижающая производительность и потребляющая большое количество памяти, ведь ломать ее никто не собирается? Почему вообще Skype-клиент реализован как черный ящик? Вопросы риторические. Но чует мой хвост, неспроста все это!
допустим конкретика есть, но нет так нет. Меня просто, как и автора статьи удивляет сочетание бесплатность программы/закрытый протокол, все эти противоотладочные действия и т.д. Неужели нас только двое?

> Rouse_ © (13.08.09 00:14) [36]
> > Неужели ваше ПО нуждается в такой страшной защите? Это
> оправдано?
> Да, нуждается, да оправдано :)

а Вы, что разрабатываете? Если не секрет :)

> Как с этим бороться? Переходить на php :)

На этом месте аж подавился макаронами... :)

> Ega23 © (13.08.09 00:25) [38]
> > Как с этим бороться? Переходить на php :)
> На этом месте аж подавился макаронами... :)

:) ну не надо так прям реагировать. Delphi for php благо на подходе, надеюсь доведут до ума :)

Осторожно! Новый вирус, специфичный для Delphi Найти похожие ветки