Сегодня обнаружил у себя два файла зараженных Win32.Induc
---------------------------------------------------------------------- -------------
Описание:

В интернете появился новый вирус Win32/Induc.A который заражает (используя интегрированную среду разработки программного обеспечения CodeGear Delphi) все приложения написанные на Delphi, такими например являются: QIP, AIMP и многие другие (вроде еще Skype, Total Commander, но не уверен).

Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются.

Подробности

Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.

Новый вирус активизируется при запуске заражённого им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.

Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется.


Распространению вируса способствовало то, что версия 8094 популярного мессенджера QIP оказались заражена им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значения ошибки не происходит).

Хорошая новость
В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, видимо пока просто обкатывается технология распространения вируса. Но вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности.
Кстати разработчики QIP пересобрали сборку, обновив до версии 8095, не содержащей естественно вируса Страница загрузки

Только будте внимательны (!) устанавливая версию с инсталлятора выбирайте установку для опытных пользователей и внимательно смотрите на нужные и не нужные опции (замена стартовой страницы и установка IE8) ;)

Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире.

Как бороться
Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.

И конечно проверить ПК антивирусом, это никогда не помешает. В настоящее время Win32/Induc.A детектят: Avast, Kaspersky, NOD32.
-----------------------------------------------------------------------------------------------------------------------------------
Откоментированный сорец чуть позже кину. И еще: делфи стаб при этом остается "стандартным" и на глаз заражение почти не заметно, сама функция заражения вызывается при этом в недрах стаба.

P.S. Думаю что эпидемия будет масштабной

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Блять, нашел у себя эту шнягу.

Размер sysconst.bak: 11 658 байт
Размер sysconst.dcu: 18 204 байт

| Сообщение посчитали полезным:

gunsmoker.blogspot.com/2009/08/delphi-delphi.html
здесь поподробнее по этой проблеме...

| Сообщение посчитали полезным:

Andreyod пишет:
gunsmoker.blogspot.com/2009/08/delphi-delphi.html
здесь поподробнее по этой проблеме...

Тогда сорец выкладывать нет смысла

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Касперский его очень хреново лечит. У меня ни одна моя прога не стала работать после лечения

| Сообщение посчитали полезным:

Flint, NIKOLA, вы пользуетесь QIP ?
Или зараза попала на ваши компы иначе?

-----
EnJoy!

| Сообщение посчитали полезным:

Херня какая то, у меня тоже есть эти 2 файла:
C:\Program Files\Delphi7SE\Lib\ < Папка>
sysconst.bak 11658 15.05.06 08:20 A
sysconst.dcu 18201 15.05.06 08:20 A

C:\Program Files\Delphi7SE\Lib\Debug\ < Папка>
SysConst.dcu 11681 15.05.06 08:20 A

C:\Program Files\Delphi7SE\Source\Rtl\Sys\ < Папка>
SysConst.pas 8131 15.05.06 08:20 A

Компилино аж в 2006 году, вопрос такой, а есть ли вирус?
Сдается мне тут какой то фейк.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus
Ну, это типа плацдарм для дальнейшего внедрения.
посмотри исходник этого вируса вот тут - http://gunsmoker.blogspot.com/2009/08/delphi-delphi.html
ничего страшного там нет, он просто размножается по компам.

Jupiter пишет:
Flint, NIKOLA, вы пользуетесь QIP ?
Или зараза попала на ваши компы иначе?
Jupiter, достаточно запустить любую программу, которую компилировали на заражённой Delphi

| Сообщение посчитали полезным:

у мну нету, всё ок.
ЗЫ: qip и aimp фтопку

| Сообщение посчитали полезным:

Jupiter пишет:
Flint, NIKOLA, вы пользуетесь QIP ?

Пользовался до смены протокола в асе.

| Сообщение посчитали полезным:

tihiy_grom пишет:
Касперский его очень хреново лечит. У меня ни одна моя прога не стала работать после лечения


Др. веб нормально лечит, просто нопит всю функцию и в конце ставит ret. Можешь ручками вылечить, найди байткод начало вирусного кода:



Занопь 1042h байта на 1042h' ом поставь ret

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Так вирус старый или нет? Если вероятность у себя его обнаружить? Поселедний месяц ничего нового не ставил.

P.S. На делфи сейчас не пишу, но прог делфярных у меня много лежит.

| Сообщение посчитали полезным:

хех.. я думал я первый эту проблему запостю

узнал о нем недели 2 назад, сразу проверил и нашел у себя

раньше все время когда дебажил свои проекты, все время удивлялся откуда у меня в проге делфи код в текстовом виде начал появлятся, ну теперь понял, ну на то время я не занл что его кто-то определяет, и тем более лечит, потому я сделал свою антивируску для него, думал вот на днях ее выложить, щас просто идут окончательные тестирования и доработка интерфейса, ну я думаю кому-то она все таки пригодится

з.ы. после проверки своего компа по названием своих проектов узнал что эта зараза у меня сидит с весны

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

forum.cheatengine.org/viewtopic.php?t=416093&sid=75cffc2151969f3e247e6a2f6a031d4b

вот тут его еще 21 апреля обнаружили

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

а как с новыми версиями дельфятины?) 9,10,11,12?

| Сообщение посчитали полезным:

[deleted]

| Сообщение посчитали полезным:

я пользуюсь 12, всё норм, вируса не нашёл... пользуюсь AIMP'ом...

| Сообщение посчитали полезным:

кто-нибудь знает создателя или хотябы страну, где был произведён сей продукт)?

| Сообщение посчитали полезным:

тоже нашел у себя эту шнягу =(((
др.веб тупо промолчал...

| Сообщение посчитали полезным:

странно - пользуюсь и qip, и aimp, и еще много делфевских прог... да и своих несколько сотен. и делфи 5-6-7 установлены. но вируса нету. аж обидно

| Сообщение посчитали полезным:

а дайте скачать?

| Сообщение посчитали полезным:

тут еще одна штука обнаружилась, только я не буду ее пока её обнародывать, чтоб вбруг случайно не оклевитать уважаемого человека, а если это окажится правда, то этот вирус гуляет уже не первый год, может то были его первые штамы, но стиль тот же, щас сижу изучаю

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV пишет:
тут еще одна штука обнаружилась, только я не буду ее пока её обнародывать, чтоб вбруг случайно не оклевитать уважаемого человека, а если это окажится правда, то этот вирус гуляет уже не первый год, может то были его первые штамы, но стиль тот же, щас сижу изучаю
ну это получится готовая стотья в езиносе бэхоце...

| Сообщение посчитали полезным:

BoRoV пишет:
узнал что эта зараза у меня сидит с весны
Тогда у меня она есть без вариантов. Ждём твоего антивиря.

| Сообщение посчитали полезным:

Сорец я сковырнул давно, но неправильно немного оформил, см в атач.)

Атач удалён в связи с новыми правилами подфорума

| Сообщение посчитали полезным:

Архив какой-то странный.

// Раньше тут ничего не вызывалось, теперь идет вызово вирусного тела

В каком смысле? В новой редакции вируса?

| Сообщение посчитали полезным:

нет, он добавляет вызов вирусной ф-ии в раздел инициализации модуля sysconst

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Та же самая хрень.

И откуда она взялась, юзаю Миранду.

Если испоганить ключ реестра RootDir, то все проги перестают запускатся, вылетают с Runtime error 3.

| Сообщение посчитали полезным:

Pluton пишет:
И откуда она взялась, юзаю Миранду.
тебе кто-то мог дать свою поделку зараженую, вот и ты заразился, не только через квип и аимп

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Pluton
ходили слухи что какойто плаг миранды был заражен

Вообще убедительная просьба модерам и всем адекватным людям не выкладывать сорцов и тем более не коментить код если не хотите всплеска эпидемий

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным: