Сегодня обнаружил у себя два файла зараженных Win32.Induc
---------------------------------------------------------------------- -------------
Описание:

В интернете появился новый вирус Win32/Induc.A который заражает (используя интегрированную среду разработки программного обеспечения CodeGear Delphi) все приложения написанные на Delphi, такими например являются: QIP, AIMP и многие другие (вроде еще Skype, Total Commander, но не уверен).

Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются.

Подробности

Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.

Новый вирус активизируется при запуске заражённого им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.

Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется.


Распространению вируса способствовало то, что версия 8094 популярного мессенджера QIP оказались заражена им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значения ошибки не происходит).

Хорошая новость
В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, видимо пока просто обкатывается технология распространения вируса. Но вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности.
Кстати разработчики QIP пересобрали сборку, обновив до версии 8095, не содержащей естественно вируса Страница загрузки

Только будте внимательны (!) устанавливая версию с инсталлятора выбирайте установку для опытных пользователей и внимательно смотрите на нужные и не нужные опции (замена стартовой страницы и установка IE8) ;)

Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире.

Как бороться
Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.

И конечно проверить ПК антивирусом, это никогда не помешает. В настоящее время Win32/Induc.A детектят: Avast, Kaspersky, NOD32.
-----------------------------------------------------------------------------------------------------------------------------------
Откоментированный сорец чуть позже кину. И еще: делфи стаб при этом остается "стандартным" и на глаз заражение почти не заметно, сама функция заражения вызывается при этом в недрах стаба.

P.S. Думаю что эпидемия будет масштабной

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Ara пишет:
а дайте скачать?
pass:1

Атач удалён

| Сообщение посчитали полезным:

Есть инфа, что это подпольное оружие, которое сделали простые пацаны из BHC для борьбы с гавнодельфикодерами.

-----
Shalom ebanats!

| Сообщение посчитали полезным:

бл* у меня тож есь SysConst.bak (у меня 11 658 байт), а вы уверены что это вирус делает?
конечно глупо но мож ето делфи резерв копии делает)
и еще дата изменения этого файла у меня 9.08.2002
и зачем вирусу делать бэкап испорченного файла??

| Сообщение посчитали полезным:

RZSoft
вирус подменяет дату на дату оригинального файла. И нет, не вирус, потому что вирусом его сложно назвать - ничего ведь не делает

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

Никакой это не вирус. Код которого там не много, ничего не делает, ветвления в никуда, сех-фреймы не валидные, шлюзы не вызываются, только стек заполняет мусором.
Скомпиленный модуль в студию.

| Сообщение посчитали полезным:

ClerkClerk пишет:
Никакой это не вирус. Код которого там не много, ничего не делает, ветвления в никуда, сех-фреймы не валидные, шлюзы не вызываются, только стек заполняет мусором.

Вирус, вирус.

Описание же и исходник есть.

Симптомы тоже известны.

Измени путь в реестре в RootDir и все зараженные проги вылетать с ошибкой начнут.

| Сообщение посчитали полезным:

ну и хрен с ним этим вирусом раз ничего не делает
скомпиленый удалил, и непонятно зачем остался бэкап?

| Сообщение посчитали полезным:

Pluton
Я смотрел дамп в аттаче выше(20 августа 2009 15:38:29). Это мусор.

| Сообщение посчитали полезным:

я изменил в реестре путь запускал дохрена прог написаных на делфях и никаких ошибок

| Сообщение посчитали полезным:

у кого есть чистые файлы sysconst.dcu с 4 и 5 дельфей?

DarkWolf, спс!

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Подумал тут, если этот вирус скрестят с авторунером и добавят такой же модуль для заражения C++ проектов - получится полная жопа.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

BoRoV: держи!

97ef_20.08.2009_CRACKLAB.rU.tgz - d4d5.rar

| Сообщение посчитали полезным:

ClerkClerk пишет:
Я смотрел дамп в аттаче выше(20 августа 2009 15:38:29). Это мусор.

По крайней мере, DrWeb эту хрень опознает как вирус Индус.

Меня лично чуть не стошнило, когда я эту херь у себя в файлах обнаружил.. расползлась по скомпиленным файлам как эпидемия какая-то.

Я помню, что меня чуть не стошнило, когда я впервые обнаружил вирус Burglar у себя на свежекупленном компе x386.. Burglar, помню, размножался как кролик.

Сейчас то же самое.

| Сообщение посчитали полезным:

Flint пишет:
добавят такой же модуль для заражения C++ проектов
поэтому надо юзать msvc/gcc. там такого в принципе нельзя, особенно в gcc

| Сообщение посчитали полезным:

Давайте щас еще будем диктовать на чем писать народу

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

void
А что так зло? Я имел в виду только компиляторы для Си++. Вот честно, ничего не имею против делфи. Но сам избегаю его.

БоРоВ обнаружил этот вирь даже в verA by PE_Kill (кто не помнит это плаг есть такой для определения версии аспротекта). Правда там безобидная вроде модификация.

| Сообщение посчитали полезным:

progopis пишет:
БоРоВ обнаружил этот вирь даже в verA by PE_Kill (кто не помнит это плаг есть такой для определения версии аспротекта). Правда там безобидная вроде модификация.
наверно аверы сцут детектить этот вирь, т.к. сразу куча софта окажется зараженным и люди авер такой снесут накуй...

| Сообщение посчитали полезным:

Ara
Да аверы могли и не заметить/забить. Итак не все действительно опасные вирусы детектятся. А им ещё парится по поводу этой ерунды.

| Сообщение посчитали полезным:

progopis пишет: Правда там безобидная вроде модификация.

Ara пишет: наверно аверы сцут детектить этот вирь, т.к. сразу куча софта окажется зараженным и люди авер такой снесут накуй...

Цитата с сайта ДрВеб (думаю, другие аверы подобно мыслят):
"...надо понимать ЧТО антивирусная программа Dr.Web определяет как вирус, а что нет. Не вдаваясь в технические детали, можно сказать, что вирусом разработчики Dr.Web считают работоспособные, то есть, способные нанести реальный вред компьютерные программы. В вирусную базу Dr.Web никогда не вносятся так называемые «битые» вирусы, неработоспособные коды... которые только утяжеляют ее (базу), но не несут реальной защиты пользователям."

| Сообщение посчитали полезным:

каким образом он на комп попадает,если касперский сканит весь трафик сетевой? и баз своих качает по 5 метров в день...

| Сообщение посчитали полезным:

все в очередной раз убедились что антивири это на 80% пиар и реклама,и лишь 20% реальная защита компа

| Сообщение посчитали полезным:

user_ пишет:
Цитата с сайта ДрВеб (думаю, другие аверы подобно мыслят):
"...надо понимать ЧТО антивирусная программа Dr.Web определяет как вирус, а что нет. Не вдаваясь в технические детали, можно сказать, что вирусом разработчики Dr.Web считают работоспособные, то есть, способные нанести реальный вред компьютерные программы. В вирусную базу Dr.Web никогда не вносятся так называемые «битые» вирусы, неработоспособные коды... которые только утяжеляют ее (базу), но не несут реальной защиты пользователям."

Что есть то есть, приведу пример моей переписки:

--- троянская dll, загружаемая криптованным exe (он определяется dr.web). Создает и запускает батник сл. содержания:



--- Ваш запрос был обработан Автоматической Системой. Присланный Вами файл находится в базе доверенных (чистых) файлов Dr.Web и не представляет угрозы. Если Вы уверены, что данный файл представляет угрозу, пожалуйста, сообщите подробности в ответе на данное письмо.

--- Данную dll создает криптованный полиморфом дроппер, который детектится dr.web. Если этот дропер закриптуют другим полиморфом, то детектится он перестанет, а dll останется прежней! Dll несет в себе
основной функционал - приведу описание того что она делает:

Cоздается b2e.dll, далее из dll вызывается одна функция B2E. Она делает текстовый файл binaries.txt
в который пишется строка client-serv.bat1 601, далее этот файл заново читается и создается файл
client-serv.bat, затем client-serv.bat запускается

Внутри него:

Т.о. при попытке пользователя зайти на сайты происходит редирект.
Сл-но эта dll не может быть доверенной!

В общем ответа нету до сих пор.

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

> наверно аверы сцут детектить этот вирь, т.к. сразу куча софта окажется зараженным и люди авер такой снесут накуй...
я бы засцал ставить себе авер на дельфи)

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Почему вы решили DrWeb не детектит данный вирь.

У меня детектит.

Последние базы.

Может недавно добавили.

| Сообщение посчитали полезным:

https://forum.antichat.ru/thread136277.html

MoleBox Ultra 4.1900 заражен =(((

| Сообщение посчитали полезным:

depler пишет:
Вообще убедительная просьба модерам и всем адекватным людям не выкладывать сорцов и тем более не коментить код если не хотите всплеска эпидемий
+1

CodeGear Delphi 2009 - все чисто. слава богу.
Из делфинных прог мало что юзаю.

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

ну что...
вот я дописал свой антивирус, даю вам на рассмотрение:
- проверка и лечение делфи
- поиск как по всему компу, так и в заданных папках зараженых файлов
- лечение файлов(создаются резервные копии, также есть менеджер этих копий, чтоб востановить если что)

ну вобщем все ошибки что возникали у меня я все подавил, ошибок поидеии не должно быть, но.... ни в чем нельзя быть увереным на все 100

01e3_21.08.2009_CRACKLAB.rU.tgz - Antivirus.7z

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV
У меня вместо русских букв знаки вопроса (на кнопках). В основном окне (там где строчки с About) все ок
ось - седьмая винда

| Сообщение посчитали полезным:

ыы
я даже не менял шрифт, то что стояло по умолчанию, а вот эбаут поменял, значит поставлю тот что в эбауте

вот с тем что в эбауте (Lucida)

3485_21.08.2009_CRACKLAB.rU.tgz - Antivirus.7z

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV
Не исправилось
http://i32.tinypic.com/zxq8y.png
плюс когда я нажимаю Alt в окне программы вдруг исчезают все кнопки

PS: имхо лучше на английском интерфейс сделать

| Сообщение посчитали полезным: