Сегодня обнаружил у себя два файла зараженных Win32.Induc
---------------------------------------------------------------------- -------------
Описание:

В интернете появился новый вирус Win32/Induc.A который заражает (используя интегрированную среду разработки программного обеспечения CodeGear Delphi) все приложения написанные на Delphi, такими например являются: QIP, AIMP и многие другие (вроде еще Skype, Total Commander, но не уверен).

Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются.

Подробности

Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.

Новый вирус активизируется при запуске заражённого им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.

Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется.


Распространению вируса способствовало то, что версия 8094 популярного мессенджера QIP оказались заражена им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значения ошибки не происходит).

Хорошая новость
В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, видимо пока просто обкатывается технология распространения вируса. Но вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности.
Кстати разработчики QIP пересобрали сборку, обновив до версии 8095, не содержащей естественно вируса Страница загрузки

Только будте внимательны (!) устанавливая версию с инсталлятора выбирайте установку для опытных пользователей и внимательно смотрите на нужные и не нужные опции (замена стартовой страницы и установка IE8) ;)

Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире.

Как бороться
Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.

И конечно проверить ПК антивирусом, это никогда не помешает. В настоящее время Win32/Induc.A детектят: Avast, Kaspersky, NOD32.
-----------------------------------------------------------------------------------------------------------------------------------
Откоментированный сорец чуть позже кину. И еще: делфи стаб при этом остается "стандартным" и на глаз заражение почти не заметно, сама функция заражения вызывается при этом в недрах стаба.

P.S. Думаю что эпидемия будет масштабной

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Снеси нах эту семерку

в следующей версии решу эту проблему и добавлю еще одну важную фичу

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV, респект за тулзу, хоть мне и не пригодилась)
А что если сделать вакцину по тому же принципу? Этакий "вирус"-антивирус?

| Сообщение посчитали полезным:

Azur1d пишет:
Этакий "вирус"-антивирус
Я писал такую штуку для флэшек. Вирус поражает флэшки и потом чистит флэшки от вирусов (на основе различных видов автозапуска), которые всех уже достали.

ИМХО, такой "антивирус" ничем не лучше виря.

| Сообщение посчитали полезным:

BoRoV
Спс за антивирь. Нашёл вирь на двух файлах. Один твой, один Эксара.

Из минусов - нельзя проверять файлы в архивах, нельзя проверять UPX-енные файлы. И даже после снятия UPX, вирь не был найден на файле про который говорили что он там (вирь) есть.

| Сообщение посчитали полезным:

progopis пишет:
Из минусов - нельзя проверять файлы в архивах, нельзя проверять UPX-енные файлы.
это да, я об этом думал, может и добавлю

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

спс BoRoV, у себя нашел 3 штуки: QIP, 3D Image Commander, Студия Красоты. Delphi нету, значит Индюк уже у многих разрабов гуляет и уже давольно долго (2 последние проги были скачены для слома уже не помню когда).
P.S. зря сорцы тут прикрепили, могут появиться не безвредные засранчеги.

| Сообщение посчитали полезным:

Я у себя уже все удалил, может кто проверит, если установить на SysConst.dcu атрибут "только чтение", будет перезаписываться или нет ?

| Сообщение посчитали полезным:

progopis пишет:
... один Эксара.
Вот же ж блин. Действительно, нашел у себя эту хрень (откуда только взялась?) =(

SER[G]ANT пишет:
3D Image Commander
+1
но в моем случае проекты, содержащие код Induc-a скомпилены аж в середине марта, задолго до установки этой проги

Антивир не качал (денег нет, соре), проверил вручную. Не пострадали 90% Win32Api проектов (модуль SysUtils требует SysConst, а я в большинстве использую облегченный вариант), а VCL приложений у меня за последнее время было написано не так много (в основном пишу С++ Builder 6 / CodeGear C++ Builder 2k9).
В 9 моих кейгенах обнаружен этот код, приношу свои извинения =(
В основном там, где используется модуль MD5 (тянет за собой SysUtils). Но в некоторых кейгенах с MD5 (скомпилены в мае-июне) его нет О_о


2 NIKOLA
будет

| Сообщение посчитали полезным:

Хм, чета ни че у себя не нашел. Кода БоровАнтивирь находит инфицированые файлы, он ченить ругается или пишет о найденых объектах? (Делфи не пользуюсь, но все же надеялся ченить найти)

| Сообщение посчитали полезным:

В XP sp3 DE такая же хрень, видимо нужно в юникоде сделать буквы.

Какую хоть кнопку нажимать?

---------------
Заражены экзешники уроков от teachshop.ru (суке... )
зы
ошибка: [ вылечИн ]

-----
AutoIt

| Сообщение посчитали полезным:

BoRoV, неплохо бы проверку на тип файла ввести - зачем все проверять?

И не пойму, что все так возбудились? Долго ни кто не находил? Так это потому, что деструктива нет. Что там принципиально интересного-то?

| Сообщение посчитали полезным:

Oott пишет:
Кода БоровАнтивирь находит инфицированые файлы, он ченить ругается или пишет о найденых объектах?
Да, он пишет "[ Заражен ] <имя файла>", строка подсвечивается красным цветом, и еще издается звук ошибки винды при нахождении

OLEGator пишет:
такая же хрень, видимо нужно в юникоде сделать буквы.
было такое предположение, но просто нет где оттестить на такие "ошибки"

OLEGator пишет:
ошибка: [ вылечИн ]
да, есть и такие баги я даже просил кому давал искать мои грамматические ошибки, русский не мой язык

Gideon Vi пишет:
неплохо бы проверку на тип файла ввест
да, были такие предложения, просто чтоб наверняка


В следующей версии постараюсь поправить проблему с шрифтами, также постараюсь сделать проверку в архивах(хотя бы в зип и рар) и упх наверное кину, добавлю фильтрацию по типу файлов, и кое что еще, чтоб потом квип работал после лечения

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Gideon Vi пишет:
Так это потому, что деструктива нет
+1, дольше все живут вирусы, которые только раздражают (или вообще прозрачны) нежели несут реальный вред. Ещё долго живут те что заражают флэшки. Недавно нашёл вирь на чей-то флэшке, который ещё когдя я в школе учился был. Всё просто: ось переставят, комп может даже смениться, а флэшки большинство людей меняют редко.

Ну а то что у многих делфи-кейгенов (AT4RE, TSRh, ещё кто-нибудь) уже есть этот вирь лишний раз подтверждает что безопасней и надёжней делать кейгены на ассемблере. По крайней мере в дизасме сложно будет не заметить заразу.

BoRoV пишет:
издается звук ошибки винды при нахождении
чота не заметил

| Сообщение посчитали полезным:

progopis пишет:
чота не заметил

win7 - звук был. нашел у себя одного засранчега

| Сообщение посчитали полезным:

Gideon Vi пишет:
win7
а у тя что нормально шрифты отображаются?

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

у меня отображаются нормально

| Сообщение посчитали полезным:

да проблема видимо в кодировке 1252=>1251

-----
AutoIt

| Сообщение посчитали полезным:

BoRoV пишет:
а у тя что нормально шрифты отображаются?

да, все гуд

| Сообщение посчитали полезным:

Ну вообще возможен вариант такой, вирус с вредным куском кода ведет пассивный образ жизни, размножаясь по машинам, потоб бах, с очердной проверкой флажка на веб сервисе уводит массу машинок в аут. Поэтому с выходом новой версии может и будет о чем беспокоится)))

| Сообщение посчитали полезным:

BoRoV Благодарю за антивирь. Вроде ничего не заражено. Русские буквы отображаются нормально ( Win7 x64 Norwegian MUI)

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

Oott пишет:
вирус с вредным куском кода ведет пассивный образ жизни, размножаясь по машинам, потоб бах, с очердной проверкой флажка на веб сервисе уводит массу машинок в аут
Мотив ясен, как рабочая версия - вполне реально. Кому только такое на ум взбрело???
//повбывав бы...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Как кому, знаешь скока в москве стоит тачку починить?))) Тут дето в курилке еще тема была, по 17к за мышку отставшую от usb)))

| Сообщение посчитали полезным:

Обновил свой антивирь.

- Добавил CRC фиксер, теперь можно смело лечить квип и он после этого будет работать а не как после разных великих там антивирей

- Добавил фильтрацию по типам файлов

- Добавил возможность выбора шрифта, хз может и поможет в решении проблемы с неумением понимать русский язык

- Поправлена ошибка с акес виолате при открытие зараженого файла с проводника (это из-за моей не внимательности, сто лет не писал на вцл, что-то большое )

- Теперь в менеджере резервных копий можно удалять их с компа

планирую добавить проверку в архивах, и может еще что-то

d6a0_22.08.2009_CRACKLAB.rU.tgz - Anti.Win32.Induc.v.0.13.7z

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Скрин, чтобы было понятно, какие кнопки жать, если кириллицу не отображает

47ee_22.08.2009_CRACKLAB.rU.tgz - antinduc.png

-----
EnJoy!

| Сообщение посчитали полезным:

а вот и инструкция как дойти до диалога выбора шрифтов
1. нажимаем на вторую кнопку "..."
2. в появившемся окошке нажимаем на кнопку в нижнем левом углу

надеюсь всё будет ок


з.ы. вот вы все пишете что нашли то и то, а вы их лечите(надеюсь да ), просто интересно нормально ли отработал антивирь, вылечил ли, не было ли ошибок при сканирование компа, потому как файлы разные бывают

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

сделай меню, чтобы можно было через него в настройки зайти или хоткей
+ показ кол-ва отработанных файлов

-----
EnJoy!

| Сообщение посчитали полезным:

BoRoV
Вот сейчас уже qip 8094 запускается после лечения.
Однако, что предыдущая, что эта версия "лечилки" делает не работоспособные бекапы зараженных файлов. Так задумано ?

Вещь полезная, но многие делфи файлы запакованы ни только upxом, щас бы поддержку всех пакеров/протов/криптов.. а там и до полноценного антивиря не далеко ;P

| Сообщение посчитали полезным:

SER[G]ANT пишет:
Однако, что предыдущая, что эта версия "лечилки" делает не работоспособные бекапы зараженных файлов. Так задумано ?
они работоспособны =) с менеджера же можно же востановить просто еслиб ты открыл его в хекс редакторе, то наверное сразу заметил бы кое что, я правлю один байт, чтоб потом бекап не детектился как вирус, и горе юзеры которы могут просто изменить расширение не могли запустить

SER[G]ANT пишет:
но многие делфи файлы запакованы ни только upxом, щас бы поддержку всех пакеров/протов/криптов
это да, щас как раз над этим вопросом думаем, ну как вариант была идея прикрутить вманпакер, но как оно будет работать хз, если это реально, был бы признателен за последнюю версию его длл и сдк к нему, или может арчер сделает нормальную длл с QU а не то что есть

SER[G]ANT пишет:
а там и до полноценного антивиря не далеко ;P
угу, мне уже так многие начали говорить, т.ч. есть ли желающие на проект создания нового антивиря?

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Почему кнопки исчезают после нажатия Alt?

PS может все-таки интерфейс сделать на английском по дефолту? Или там кнопку добавить для переключения языка

| Сообщение посчитали полезным:

на нормальных осях все впорядке

может у тебя корявый билд семерки, у кого-то на семерки есть подобная проблема?
а сам текст ты хоть видишь, нашел подходящий шрифт для себя?

для того чтоб фейс сделать на англ его нужно сначала перевести, а я не особо дружу с ним, пробывал преводчиком, с последующей корекцией - бред получается, потому я против англ фейса

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: