Сегодня обнаружил у себя два файла зараженных Win32.Induc
---------------------------------------------------------------------- -------------
Описание:

В интернете появился новый вирус Win32/Induc.A который заражает (используя интегрированную среду разработки программного обеспечения CodeGear Delphi) все приложения написанные на Delphi, такими например являются: QIP, AIMP и многие другие (вроде еще Skype, Total Commander, но не уверен).

Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются.

Подробности

Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.

Новый вирус активизируется при запуске заражённого им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.

Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется.


Распространению вируса способствовало то, что версия 8094 популярного мессенджера QIP оказались заражена им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значения ошибки не происходит).

Хорошая новость
В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, видимо пока просто обкатывается технология распространения вируса. Но вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности.
Кстати разработчики QIP пересобрали сборку, обновив до версии 8095, не содержащей естественно вируса Страница загрузки

Только будте внимательны (!) устанавливая версию с инсталлятора выбирайте установку для опытных пользователей и внимательно смотрите на нужные и не нужные опции (замена стартовой страницы и установка IE8) ;)

Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире.

Как бороться
Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.

И конечно проверить ПК антивирусом, это никогда не помешает. В настоящее время Win32/Induc.A детектят: Avast, Kaspersky, NOD32.
-----------------------------------------------------------------------------------------------------------------------------------
Откоментированный сорец чуть позже кину. И еще: делфи стаб при этом остается "стандартным" и на глаз заражение почти не заметно, сама функция заражения вызывается при этом в недрах стаба.

P.S. Думаю что эпидемия будет масштабной

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

У меня билд финальный, 6.1.7600, на других прогах такой проблемы нет.
Какой шрифт не выбирал, всё равно одни вопросительные знаки.
Я английский неплохо знаю, если что то могу перевести

| Сообщение посчитали полезным:

SER[G]ANT пишет:
Вот, правда хоть убей, но не знаю как переводиться слово "лечить"

Cure

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

BoRoV,
мне часто приходится седьмой делфи под немецкой виндой
пользоваться и большие проблемы были с кириллицей пока
не попался в интернете очень толковый юнит Code Page Cyrillic Fix D7.
Теперь включаю этот юнит в каждый проект и никаких
проблем больше с отображением кириллицы даже под немецкой виндой,
всё путём - этот юнит только для D7 !!!
За антивир спасибо, много заражённых программ нашёл
и в кейгенераторах в том числе
.



9498_22.08.2009_CRACKLAB.rU.tgz - Code_Page_Cyrillic_Fix_D7.zip

| Сообщение посчитали полезным:

GPcH пишет:
Cure
спс, а я думал это переводиться как "проклятье" (перепутал с Curse)

50e6_22.09.2009_CRACKLAB.rU.tgz - Anti.Win32.Induc.v.0.13_eng.rar

| Сообщение посчитали полезным:

BoRoV пишет:
у кого-то на семерки есть подобная проблема?

подтверждаю: по нажатии alt исчезают все кнопки, кроме активной (проверить). Если нажать на эту кнопку, то проявятся остальные.

зы. Если вдруг не знаешь Alt активирует меню в шапке программы, если оно там есть

| Сообщение посчитали полезным:

userdom, спс за модуль, но чтоб его поставить или просто использовать пришлось немного пошаманить, он нехотел у меня восприниматся дельфями из-за того что файлы были в юникод кодировки, пришлось их перевести в нормальную (в аттаче исправленый модуль)

Gideon Vi пишет:
Если вдруг не знаешь Alt активирует меню в шапке программы, если оно там есть
да знаю, но если убрать систем меню, то оно ж не будет вызыватся при на нажатии ПКМ на окне в панели задач, а я часто такое использую, должно быть другое разумное объяснение почему кнопки пропадают, я вахуе, просто сложно править то чего не видишь еслиб самому на семерки тестить, то это бы упростило поиск решения этой проблемы

Добавлено:
хотел у себя вызвать эфект пропадания кнопок п овашому методу, не получалось, а всё потому что я это делал не при сканировании, если при сканировании нажать Alt, тогда да происходит что-то но у меня кнопки не пропадали, но из-за того что фокус передавался систем меню у меня проверка как бы на паузу становилась, удобно

з.ы. (оффтоп) а если семерку ставить на виртуалку, сколько она требует минимум оперативы, а то когда-то хотел так висту поставить, а она требует 512 метров оперативы, а у меня всего реальной столько

з.ы. может фейс сделать на своем родном языке, что б не было обидно что ничего не отображает
но тогда же вы будете думать обо мне так Bronco пишет: //повбывав бы... , вы обо мне, а я так о вирусах
//повбивав би ціх вірмейкерів


5c74_23.08.2009_CRACKLAB.rU.tgz - Code_Page_Cyrillic_Fix_D7.rar

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV пишет:
з.ы. (оффтоп) а если семерку ставить на виртуалку, сколько она требует минимум оперативы

в среднем кушает около 350. Но и на 256 будет, правда со свопом

| Сообщение посчитали полезным:

BoRoV,
спасибо за корректировку кодировки юнита - зачем народу лишние танцы с бубнами...
По поводу косяка с Alt: в программе отсутствует менюшка как таковая, а если
добавить хотя бы один пунктик - О программе, к примеру или ещё лучше
продублировать в меню все кнопки ? М.б. пропадёт косячок ?
"Попытка - не пытка" (с)

| Сообщение посчитали полезным:

А так ли этот индюк опасен и вообще вирус ли это в широком смысле слова? Ведь как я понял почитав этот топик, индюку около 1-2 лет и может ли быть так что Евгений Ваганович и Ко просто решили сделать себе "мего пиар"?

| Сообщение посчитали полезным:

В принципе не опасен

| Сообщение посчитали полезным:

Я согласен с предыдущими высказывание, что это типа был продная атака, чтоб проверить способ заражения и распостранения, имхо такая идея заражение и распостранения отличная, мне понравилась, потому я уже жду новой волны, может целью снова будет делфи, но на этот раз будут не эти пустышки, а уже полнофункциональные трои, ну мне кажется что будет еще пробный запуск атаки на вижуал студию, просто на делфи пишутся зачастую не очень серьезные продукты, а вот на сях... т.ч. было бы логично заражать их, потому я щас думаю над тем как избежать следующей волны, или хотя бы быть готовым к этому

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV пишет:
я щас думаю над тем как избежать следующей волны, или хотя бы быть готовым к этому
Старые как мир, но эффективные советы:
1 - не использовать софт из неизвестных источников
2 - проверять Authenticode и PGP подписи или хэши файлов, если они есть в релизе. С подозрением относиться к релизам, авторы которых не предусмотрели средства проверки аутентичности.
3 - с двойным подозрением относиться к софту, запакованному чем-либо кроме UPX. Лучше такой софт вообще не ставить, ибо возможно что автор что-то скрывает.
4 - по возможности использовать OpenSource
5 - не давать софту больших привилегий, чем нужно для работы. Например тот-же QIP ничего не заразит, если запускать его от юзера, которому запрещена запись.
6 - весь софт сначала ставить в VM, и только после проверки себе.
7 - мелкий софт дизассемблировать и хотя-бы бегло просматривать на предмет наличия каки. А лучше, хоть и сильно гиморнее, собирать из исходников.
8 - Семь раз подумай, один раз поставь. Ставить только тот софт, который абсолютно необходим для работы. Если хочется просто поиграться, то для этого есть VM.

Я всю жизнь пользуюсь этими нехитрыми правилами, и не пользуюсь АВ. До сих пор никаких индюков и прочего дерьма у меня небыло.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Первым делом, при начале сеанса, вырубаю мониторинг антивиря.
//достал просто,
Вторым делом, когда в нэте, качаю всё подряд из того что интересно, ибо первое правло нЭта:
- качать_качать_и_ещё_раз_качать !!!!
//ибо нах он ваще тогда нужен.
Вари не юзаю, с опен_сорцов не компилю...Ну в общем параноями не страдаю.
В итоге ни одного индюка, да и остальной срани то же.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

я тож такими параноями не страдаю, а если б и страдал, то все равно забывал все это делать
// ужас какой расеяный
и что самое обидно всегда всякую заразу мне приносят другие
// а так хочется иногда самому заболеть, а не чтоб другие заразили

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV пишет:
я щас думаю над тем как избежать следующей волны, или хотя бы быть готовым к этому
Ну а контроль целостности нужных либ и инклудов перед компиляцией и компоновкой (не вручную, конечно) уже, значит, не катит? )

| Сообщение посчитали полезным:

_ruzmaz_ пишет:
Ну а контроль целостности нужных либ и инклудов перед компиляцией и компоновкой (не вручную, конечно) уже, значит, не катит? )
это мы щас будем все придиратся к моим словам я это и имел ввиду, что нужно шас какуе-то хрень написать, чтоб следила за порядком во всех папках, всех сред разработки

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Да уж.. Лучше паранойей тогда пострадать, чем иметь кучу "хреней" следящими за всем и ничего в итоге не видящими. Такие компы превращаются в аццкую сточную яму, в которой порой вирусу-то сложно существовать, т.к. кол-во желающих засплайсить юзермодные библиотеки зашкаливает, а хранить можно разве-что порнушку. Тоже никогда не юзал АВ, только фаерволл.

К списку нтлдр добавил бы пункт: обновлять вовремя софт.

-----
invoke OpenFire

| Сообщение посчитали полезным:

ntldr пишет: не пользуюсь АВ.
Ice-T пишет: Тоже никогда не юзал АВ, только фаерволл.
А чем антивирусы-то не устраивают?

| Сообщение посчитали полезным:

user_ пишет:
А чем антивирусы-то не устраивают?
Распишу по пунктам

1 - Антивирусы не помогают. Любой школьник может написать вредоносное ПО, которое на момент написания не будет ими обнаруживаться. Следовательно вся защита антивирусов есть ничто иное, как иллюзия.
2 - Антивирусы понижают производительность и стабильность системы из-за кучи всяких хуков. Я очень не люблю софт, работающий иначе, чем положено по документации MSDN, и считаю создание такого софта признаком непрофессионализма.
3 - Антивирусы обновляются и передают какие-то данные в интернет. Их исходный код закрыт, а значит я не могу быть уверен, что они не крадут мои конфиденциальные данные. Если сейчас они этого не делают, то могут начать это делать в любой момент, после очередного обновления.
4 - Нафига мне это нужно, если простое разграничение прав, которое уже есть в винде, работает на порядок надежнее. По крайней мере школьники и кулхацкеры с ним не справятся.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Так я ж сказал: "... контроль ... нужных либ и инклудов перед компиляцией ..."
Кучу хреней, постоянно мониторящих все что ни попадя, не обязательно иметь - достаточно патчить компилеры/линкеры/ide (причем можно же централизовано - с помощью одной проги) или, при наличии возможности, устанавливать плагины (опять таки с помощью одной проги).

add
... ну не патчить, так с лоадерами запускать

| Сообщение посчитали полезным:

Патчить компилеры\линкеры это ппц) Мало того, что не законно, так еще и извратно как-то уж очень)

-----
invoke OpenFire

| Сообщение посчитали полезным:

ntldr а хуки запрещены в MSDN? как мне хукнуть апи и не выглядеть непрофесионалом?

-----
zzz

| Сообщение посчитали полезным:

zeppe1in пишет:
ntldr а хуки запрещены в MSDN?
Не разрешены. А хуки ядра в x64 даже особо запрещены.

zeppe1in пишет:
как мне хукнуть апи и не выглядеть непрофесионалом?
Просто не надо хукать, никак. Единственное допустимое обоснование применения хука - это невозможность решения задачи другим способом при ограниченном круге пользователей вашего софта.
Т.е. предполагается, что софт с хуками должен быть предназначен для тех пользователей, которые могут ради него специально настроить винду, убрав все возможные конфликтующие приложения.
Ну а если софт предназначен для широкого применения, особенно в высокостабильных средах, таких как серверы, то хуки абсолютно недопустимы.

Пример софта в котором хуки можно терпеть - это всякие anti-drm, отладчики, и.т.п. Предполагается, что пользователь такого софта может разобраться и потерпеть все связанные этим неудобства.
Нельзя использовать хуки в серверном софте, протекторах, антивирусах, фаерволлах, и вообще везде, где можно без этого обойтись.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

еще один клинер от Induc
http://www.fileshome.com/win32_induc_virus_remover_induc_cleaner_delph i_virus_177949.html

| Сообщение посчитали полезным:

SER[G]ANT пишет:
Antivirus_eng.rar
небольшое замечание к Antivirus_eng, не воспринимайте как критику:
антивирус действительно блокирует попытку "вируса" изменить sysconst.dcu, НО
после лечения все равно куча антивирусов (19 из 41 на virustotal.com) считают, что файл заражен.
Я понимаю, что это вообщем-то проблема остальных антивирусов, но
не лучше-ли было не только "ret" прописать, но и занопить весь остальной код, относящийся к вирусу.

| Сообщение посчитали полезным:

Есть такой говённый антивирь, как Sophos... Это похоже из цикла "лучше на всякий случай стереть"
бл* он стирал в универе все мои дельфовые проекты из-за подозрения на эту гадость... Причём без вопросов, просто смотришь как с флешки исчезают файлы (настроить конечно не судьба, т.к. правов нету) Как он меня задрал!!!
Помогло только накрывание аспротом
посмотрю конечно дома по поводу
Flint пишет:
если найдёте у себя SysConst.bak
но, думаю, вряд ли дело в этом

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

AlexVel пишет:
небольшое замечание к Antivirus_eng
а почему имено к *_eng? В русской версии такого разве нет?
да, многие антивирусы и програмы для борьбы с этим вирусов его определяют по сигнатуре, имхо детект по сигнам - мувитон, я получаю адрес вирусной ф-ии более професионально

AlexVel пишет:
Я понимаю, что это вообщем-то проблема остальных антивирусов, ноне лучше-ли было не только "ret" прописать, но и занопить весь остальной код, относящийся к вирусу.
цель была не дать ему дальше размножатся, а не полностью постирать все лишнее

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

AlexVel
запакуй "Hello World" каким-нить паблик пакером и дай на съедение вирустоталу, офигеешь)
К примеру, запаковал simple.exe (masm32\examples\dialogs\simple) WinUpack
Результат: www.virustotal.com/ru/analisis/ea72fecc4db87e7650083f79bcc6c5be809ad0b15ce947f42332110a73b8d714-1251285956
И на подобии этого вирустотал отображает практически со всеми паблик пакерами. Так что, фигня сервис.

З.Ы. и прикреплен не "антивирус", а переведенный экзешник ;P

| Сообщение посчитали полезным:

Блин, реально нашёл!
Эта зараза давно видно уже поселилась, т.к. вышепреведённый cleaner полечил 70 проектов
т.ч. не напрасно антивирус ругался, а я думал параноя у него

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет:
полечил 70 проектов
я уже думал что я был самым большим гнездом у меня нашло 62 зараженых проектов

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: