Malware atakujące Delphi

0

Dowiedziałem się przypadkiem, a sprawa jest i ciekawa i problematyczna. Istnieje sobie wirus/robak/malware, które... atakuje Delphi i każdy program w nim kompilowany.

Win32/Induc się toto nazywa i działa tak:

Uruchomiony przez użytkownika zarażony program, infekuje tylko systemy, gdzie zainstalowane jest środowisko Borland Delphi w wersjach od 4 do 8. Być może również nowsze. Wirus wyszukuje miejsce instalacji Delphi poprzez odczyt klucza rejestru o nazwie: HKLM\Software\Borland\Delphi\x.0\ gdzie ‘x’ to numer wersji Delphi. Następnie wirus wyszukuje plik source\rtl\sys\SysConst.pas i kopiuje go do katalogu lib\SysConst.pas. Plik SysConst.pas jest plikiem źródłowym biblioteki Delphi i zawiera wyłącznie stałe tekstowe różnego rodzaju komunikatów. Wirus dokleja tam swój złośliwy kod i kompiluje go za pomocą do postaci binarnej SysConst.dcu za pomocą kompilatora Delphi. Następnie ślady są zacierane poprzez usunięcie skopiowanego pliku SysConst.pas i ustawienie właściwej daty i czasu na pliku SysConst.dcu, aby biblioteka wyglądała na oryginalną. To wszystko jeśli chodzi o jego złośliwe działanie.

Za http://sprytne.pl/index.php/2009/08/wirus-win32induc-nowy-sposob-infekcji-uderzajacy-w-autorow-software/

I tym sposobem wszystko skompilowane w Delphi zawiera w sobie złośliwy kod. Niezły pomysł, tylko czekać na malware dla innych środowisk.

I zdaje się Delphi Personal powinno być odporne na to, bo nie zawiera źródeł modułu SysConst ani kompilatora z linii poleceń. No i oczywiście bezpieczni są użytkownicy bez praw zapisu do \Program Files.

0

Są też wirusy, które modyfikują całe kompilatory. Tylko zapomniałem jak się ta klasa wirusów nazywa [glowa]

0

hehe zabawna sprawa :] tylko co za debil odapli exe-ka z nieznanego zrodla :] ?

Uruchomiony przez użytkownika zarażony program

ech ech jak zwykle korzystanie z glupoty ludzkiej i tyle :P

ale fajne chociaz malware jest tyle ilu programistw w sumie i wiele z nich zabawnych badz pomyslowych :]

0
polaczek17 napisał(a)

hehe zabawna sprawa :] tylko co za debil odapli exe-ka z nieznanego zrodla :] ?

Uruchomiony przez użytkownika zarażony program

ech ech jak zwykle korzystanie z glupoty ludzkiej i tyle :P

Szczególnie, że kupa 'zaufanego' oprogramowania napisanego w Delphi też jest zainfekowana? Zrobiłeś update do zainfekowanej wersji - Twoje Delphi też oberwało... Powiedziałbym coś o ludzkiej głupocie...

polaczek17 napisał(a)

ale fajne chociaz malware jest tyle ilu programistw w sumie i wiele z nich zabawnych badz pomyslowych :]

Pobierałeś lekcje języka polskiego u mistrza Yody?

0

Najważniejsze pytanie : co to malware robi?

0
Grudziecki napisał(a)

Najważniejsze pytanie : co to malware robi?

Kolejny element od czytania ze zrozumieniem... Pierwszy post nie wyjaśnia?

0

niektórzy użytkownicy będą mieli info o wirusie z antywira.... co ten wirus robi?

gdybym znał autora tego wirusa tak bym go zdekompilował, że rodzony kompilator by go nie poznał!

0

To wszystko jeśli chodzi o jego złośliwe działanie.

Nijak - to coś póki co wyłącznie się z Delphi na Delphi przenosi - user nie ma Delphi to efektów brak.

0

Gdzie można zdobyć tego wirusa?
No wiem, że atakuje SysConst.dcu, ale z jakim programem jest rozpowszechniany?

No i co robi taka "zarażona" aplikacja?

0

@entek - Przecież wszystko jest napisane w pierwszym poście!

Cała złośliwość polega na rozsiewaniu swojego kodu i nic więcej.

0

Niestety złapałem to g... ale juz sie go pozbyłem i przekompilowałem pare prostych programów które sam
tworzyłem na własny użytek. Jedyne źródło z exekiem programu MP3 Tagger, który kiedyś opublikowałem
w dziale Newbie podmieniłęm na czyste dodając informację o tym w nowym postcie. Ten wirus konkretnie
zaraził mi Delphi 7 Personal, co ciekawe zostawiając backup zdrowego pliku dcu z rozszerzeniem bak w
katalogu LIB, pomogło przywrocenie oryginalnego pliku z instalki oczywiście, tylko jakbym przez to, że
Kasperski mulił system nie wyłączył go na chwilę to zorientował bym się już przy kompilacji że mam ów
wirusa, jednak uzywana przezmnie wersja 7 Kasperskiego nie usuwa tego wurysa z exe tylko go wykrywa.

0
AdamPL napisał(a)

@entek - Przecież wszystko jest napisane w pierwszym poście!

Cała złośliwość polega na rozsiewaniu swojego kodu i nic więcej.

No nie bardzo pierwszy post odpowiada na moje pytanie:

Uruchomiony przez użytkownika zarażony program,

Ja wiem, że trzeba mieć "zarażony program" i pytam gdzie go ściągnąć, zdobyć?
Jak nazywa się ten "zarażony program" ?
Jeśli ktoś to załapał, to co uruchamiał? Cracki? Gry? Dostał exploita z jakiejś strony?

Niestety pierwszy post nie daje odpowiedzi na pytania, dlatego pytam.

0

Ja wiem, że trzeba mieć "zarażony program" i pytam gdzie go ściągnąć, zdobyć?
Jak nazywa się ten "zarażony program" ?

nazywa sie Win32/Induc.
zdobyc ? lool ? chcesz sie zarazic jesli tak to musisz uruchomic zarazony program i tyle... chociazby Pajączek ( chociaz on juz wyleczony jest )

Jeśli ktoś to załapał, to co uruchamiał? Cracki? Gry? Dostał exploita z jakiejś strony?

Ze co O.o ?????????????????????????? :D
jak to co uruchamial ? no kur*a uruchamial aplikacje i tyle :D dodatkowo zlosliwy kod.
cracki ? WTF czlowieku Ty wiesz co to crack ?
Gry ? no comments :D
exploita ? Kolejny raz pytam czy wiesz co to exploit w ogóle xD ?

Dla jasnosci crack to lamanie zabezpieczen oprogramowania lub program ktory lamie dana aplikacje ( zalozmy -_- )...
exploit natomiast wykorzystuje luki w oprogramowaniu...

Czlowieku pisze jak BYK w 1 poscie ze chodzi o WIRUSA a nie zadne cracki czy exploity... zal...

0
polaczek17 napisał(a)

cracki ? WTF czlowieku Ty wiesz co to crack ?
Gry ? no comments :D
exploita ? Kolejny raz pytam czy wiesz co to exploit w ogóle xD ?

Dla jasnosci crack to lamanie zabezpieczen oprogramowania lub program ktory lamie dana aplikacje ( zalozmy -_- )...
exploit natomiast wykorzystuje luki w oprogramowaniu...

Czlowieku pisze jak BYK w 1 poscie ze chodzi o WIRUSA a nie zadne cracki czy exploity... zal...

Ech, wiesz co to żal? Efekt patrzenia jak produkujesz się nt. bezpieczeństwa, o którym zresztą nie masz pojęcia.

Exploit może zawierać wirusa, tego też dałoby i w ten sposób dostarczyć. Crack (czyli odbudowana/zmodyfikowana w celu ominięcia zabezpieczeń aplikacja) też może być zarażony. Kolejna sprawa - nigdy gry stworzonej pod Delphi\BCB nie widziałeś? Szczególnie jakieś casuale dosyć często w tym się klepie, gra to przecież normalny program.

Akurat w przypadku cracków podejrzenia są słuszne - istnieją zainfekowane cracki na bazie zainfekowanych programów - ściągnij cracka 'kompatybilnego' z obecną 'zdrową' wersją i papa... Zastanów się zanim coś napiszesz.

Wiesz co? Mam małą propozycję - na napiszę proste crackme, Ty spróbujesz połamać, skoro znasz się na assemblerze i kryptografii...

0
polaczek17 napisał(a)

Ze co O.o ?????????????????????????? :D
jak to co uruchamial ? no kur*a uruchamial aplikacje i tyle :D dodatkowo zlosliwy kod.
cracki ? WTF czlowieku Ty wiesz co to crack ?
Gry ? no comments :D
exploita ? Kolejny raz pytam czy wiesz co to exploit w ogóle xD ?

Od 20-stu lat programuję i nie wiem co to jest 'Exploit' albo 'Dll injection', a 'RootKit' to normalnie dla mnie kosmos...

Nazwa wirusa wymyślona przez ESET, czyli "Win32/Induc" albo "Virus.Win32.Induc.a." to mistrzu mój drogi, nie jest nazwa "Zarażonej aplikacji".

Moje pytanie jest do tych, którzy zostali już zinfekowani.
W jakiej aplikacji (oprócz SysConst.dcu) antywirus wykrył Wam tego robaka?

0

Exploit może zawierać wirusa, tego też dałoby i w ten sposób dostarczyć. Crack (czyli odbudowana/zmodyfikowana w celu ominięcia zabezpieczeń aplikacja) też może być zarażony. Kolejna sprawa - nigdy gry stworzonej pod Delphi\BCB nie widziałeś? Szczególnie jakieś casuale dosyć często w tym się klepie, gra to przecież normalny program.

LOOOL
A czy widzisz zeby w pierwszym poscie bylo cos o tym napisane :D ? To po prostu zwykly wirus dopisujacy swoj zloosliwy kod i juz... Po co na sile cos wymyslac -_- ? Zenada...
No chyba ze myslisz juz o programie apisanym w delphi ( ktory juz zostal zarazony ) wtedy to juz inna sprawa.
Tyle ze ... exploit w delphi ? :D :D :D ?

Wiesz co? Mam małą propozycję - na napiszę proste crackme, Ty spróbujesz połamać, skoro znasz się na assemblerze i kryptografii...

:D :D :D :D
Sorry wyroslem z UDOWADNIANIA czegokolwiek ludziom :] bawisz mnie...

0
polaczek17 napisał(a)

Sorry wyroslem z UDOWADNIANIA czegokolwiek ludziom :] bawisz mnie...

Paradoksalnie ostatnio na każdym kroku udowadniasz, że jesteś debilem.

0

polaczek17 odpocznie chwilowo od forum - nadszedł czas na leżakowanie i zabawy z rówieśnikami w piaskownicy

1 użytkowników online, w tym zalogowanych: 0, gości: 1