Сегодня обнаружил у себя два файла зараженных Win32.Induc
---------------------------------------------------------------------- -------------
Описание:

В интернете появился новый вирус Win32/Induc.A который заражает (используя интегрированную среду разработки программного обеспечения CodeGear Delphi) все приложения написанные на Delphi, такими например являются: QIP, AIMP и многие другие (вроде еще Skype, Total Commander, но не уверен).

Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются.

Подробности

Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.

Новый вирус активизируется при запуске заражённого им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.

Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется.


Распространению вируса способствовало то, что версия 8094 популярного мессенджера QIP оказались заражена им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значения ошибки не происходит).

Хорошая новость
В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, видимо пока просто обкатывается технология распространения вируса. Но вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности.
Кстати разработчики QIP пересобрали сборку, обновив до версии 8095, не содержащей естественно вируса Страница загрузки

Только будте внимательны (!) устанавливая версию с инсталлятора выбирайте установку для опытных пользователей и внимательно смотрите на нужные и не нужные опции (замена стартовой страницы и установка IE8) ;)

Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире.

Как бороться
Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.

И конечно проверить ПК антивирусом, это никогда не помешает. В настоящее время Win32/Induc.A детектят: Avast, Kaspersky, NOD32.
-----------------------------------------------------------------------------------------------------------------------------------
Откоментированный сорец чуть позже кину. И еще: делфи стаб при этом остается "стандартным" и на глаз заражение почти не заметно, сама функция заражения вызывается при этом в недрах стаба.

P.S. Думаю что эпидемия будет масштабной

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

BoRoV, глянь файл на предмет индюка. Твой авер не определяет

a7d3_27.08.2009_CRACKLAB.rU.tgz - KeyGen.rar

| Сообщение посчитали полезным:

там он есть, но инициализация sysconst находится не на своем месте, потому мой ничего не сказал, может из-за того, что это не вцл а апи и там табличка строится по другому, нужно будет щас себе накомпилить таких апи вирусов

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

progopis пишет:
поэтому надо юзать msvc/gcc. там такого в принципе нельзя, особенно в gcc
А при статической линковке MFC, допустим, так уж ли это нереально?

| Сообщение посчитали полезным:

progopis пишет:
поэтому надо юзать msvc/gcc. там такого в принципе нельзя, особенно в gcc
ИМХО, такую байду можо сделать и под MSVC.
Даже догадываюсь, как это можно реализовать. Говорить не буду, вдруг эту идею воплотят в жизнь

Добавлено: не, наверное, с MSVC не прокатит.

| Сообщение посчитали полезным:

А при статической линковке MFC, допустим, так уж ли это нереально?
реально, но MFC в серьёзных проектах использовать нежелательно, но в основном не по этой причине.

BoRoV
Так сделаешь поддержку для примера от Gideon Vi ?

| Сообщение посчитали полезным:

progopis пишет:
BoRoV Так сделаешь поддержку для примера от Gideon Vi ?
да конечно, я щас там кардинально все меняю

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

эх.. у меня 173 зараженых нашел, т.е. практически в каждом скомпиленом проекте,
BoRoV'у огромное спс за антивирь

| Сообщение посчитали полезным:

> реально, но MFC в серьёзных проектах использовать нежелательно, но в основном не по этой причине.
почему это?

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Оффтоп
www.relisoft.com/resource/libs.html - здесь оригинал небольшой статьи
www.softcraft.ru/coding/winapi/mfcbad.shtml - а здесь перевод Легалова
qt.osdn.org.ua/mfc-vs-qt.html - сравнение с Qt.

| Сообщение посчитали полезным:

BoRoV пишет:
да конечно, я щас там кардинально все меняю

не?

| Сообщение посчитали полезным:

а оно еще актуально?

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

не

| Сообщение посчитали полезным:

ну вот ты и сам ответил на свой вопрос

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

народ, выложите кт0-нибудь анти-индюка

| Сообщение посчитали полезным:

Я надеюсь ты это имел ввиду

0815_01.04.2011_EXELAB.rU.tgz - Anti.Win32.Induc.v.0.13.7z

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV пишет:
я уже думал что я был самым большим гнездом у меня нашло 62 зараженых проектов

однако делфя популярна - я думал тут народ в студии пишет

| Сообщение посчитали полезным:

Rockphorr пишет:
однако делфя популярна - я думал тут народ в студии пишет
Пишут кто в чем может. Раньше было несколько человек писавших даже на вб, щас что-то я таких уже и не встречаю тут.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

да, спасибо.
Если юзать WinApi, то не все ли равно, студия будет или делфи?
Щас даже для CUDA можно под делфи писать.

| Сообщение посчитали полезным:

Mavlyudov пишет:
Если юзать WinApi, то не все ли равно, студия будет или делфи?
О! Как раз в этом случае не все равно! В студии есть SDK с современными версиями хедеров, студия умеет компилировать в x64, и наконец в си есть макросы, очень сильно упрощающие жизнь. В стандартной библиотеке есть куча полезных функций, которые на дельфи надо откуда-то брать и таскать с собой.
В дельфи нет ничего, кроме кучи недостатков. Писать на дельфи стоит лишь в одном случае - если во всю использовать VCL, и то я сомневаюсь в целесообразности этого. Ну а самая главная причина писать на дельфи - неумение писать ни на чем более подходящем.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным: Alchemistry, Oott

ntldr
Вам не надоело одно и тоже повторять?

| Сообщение посчитали полезным:

ntldr пишет:
Ну а самая главная причина писать на дельфи - неумение писать ни на чем более подходящем.
А если студия засерает весь комп, и проект с пустой формой компилится 6-8 сек...
Как тут работать?
При её запуске вспоминаются времена, когда можно было попить кофе, пока грузится windows!
А вы говорите, упрощает жизнь!

PS: просто у работников майкрософта руки из жопы растут, потому их детища очень сложно юзать, единственное, с чем приятно работать, это Excel

BoRoV пишет:
Anti.Win32.Induc.v.0.13.7z
Delphi вылечен - это он просто так пишет? т.к. в общем он и не был заражён

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Djeck пишет:
Вам не надоело одно и тоже повторять?
Надоело, но что же делать? Придется повторять пока не поймут.

Isaev пишет:
А если студия засерает весь комп, и проект с пустой формой компилится 6-8 сек... Как тут работать?
Сдайте свой комп в музей. Ему там самое место. И не говорите что нет денег купить новый, нынче не те времена, даже грузчик таскающий кипричи на стройке может себе это позволить.

Isaev пишет:
PS: просто у работников майкрософта руки из жопы растут, потому их детища очень сложно юзать
Я не настаиваю непременно на студии. Есть другие современные компиляторы. Можете юзать MinGW + Code::Blocks, или gcc + KDevelop, хоть это будет не столь удобно.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Isaev пишет:
А если студия засерает весь комп
что вообще означает "засирает"??? аргументированно высказывайтесь, пожалуйста! Конкретно: какие ошибки у Вас возникают после установки студии?
Isaev пишет:
При её запуске вспоминаются времена, когда можно было попить кофе, пока грузится windows!
возможно Вы пользуетесь каким-нибудь антивирусом, рекомендую его удалить и "начать новую жизнь". Как вариант, не покупать комп целиком, купить только SSD винчестер, на него установить ОС и студию и удобно компилировать. Старый жёсткий пустить под файлохранилище: музяка, фильмы ... . Но опять же, это всё при условии отсутствия антивирусов, как мне кажется они и на системах с SSD будут давать ужасные тормоза.
Вариант без приобретения железа: возможно у Вас действительно на столько древний комп что его стоит обновить. Либо попробовать старенькую версию студии - 6.0. У меня на работе проц цилик 2300, одно ядро, 1Гб ОЗУ, обыкновенный HDD, не сразу конечно проект открывается, но вполне себе работоспособно, студия 2008 express edition.
ntldr, что-то мне подсказывает что народ с widechar API не подружился с наскоку: что-нибудь из книжек Петзольда/Румянцева не получается и вместо того что б задавать вопросы упираются от студии.

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

надо на папку с хедерами ставить искючение в антивире, тогда компилиться будет быстрее, незачем при каждой компиляции проверят сотни хедеров

| Сообщение посчитали полезным:

Оффтоп
BoRoV пишет:
щас что-то я таких уже и не встречаю тут
да ладно, а я, GPcH, ...

| Сообщение посчитали полезным:

Дык а что вы, ты хоть что-то щас пишешь на нём? А гпч на нём только поддерживает старые проекты, а пишет на делфи.
На нём щас только школота свои говно крипторы пишут.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Вот взяли моду языки программирования обкакивать,если человек мутант рукожопый то никакой доктор ему непоможет.
Доля програм написаных на делфи всёравно больше

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: SReg

ClockMan
А вы не путаете Delphi и CBuilder?

| Сообщение посчитали полезным:

Заканчивайте языками меряться, топик вообще не про это.

| Сообщение посчитали полезным: _ruzmaz_

Топик как раз про это. Прочитай название темы...

| Сообщение посчитали полезным: