Ich habe gerade festgestellt, dass eine kürzlich erfolgte Aktualisierung von Befehl übernehmen mit diesem Virus und einer Aktualisierung von NOD in. gemeldet wird Die letzten Stunden haben die Fähigkeit hinzugefügt, diesen Virus zu entdecken, weshalb ich darauf aufmerksam wurde. In diesem Fall sieht es nach dem Inhalt des Artikels aus, auf den ich in der Antwort, die ich akzeptiert habe, bezogen ist, dass es ein falsches positives Ergebnis ist.
Trotzdem ...
Offensichtlich läuft dieser Virus nur, wenn ein infiziertes Programm läuft, versucht dann aber, eine Delphi-Installation ausfindig zu machen, findet die Datei SysConst.pas und fügt den nötigen Code hinzu, damit Delphi neue Programme mit dem vorhandenen Virus kompiliert .
Ich habe Delphi jedoch nicht auf diesem Rechner installiert, daher sollte dieses Problem zumindest ein kleines sein, aber bei der Arbeit haben wir ein paar Maschinen mit Delphi installiert. Glücklicherweise habe ich nicht in einer aktualisierten Form meine Arbeitsmaschine, aber ich muss sagen, dass es in Delphi nicht viele andere Programme gibt, die in letzter Zeit geschrieben wurden und die Leute kürzlich aktualisiert haben ...
Also dachte ich, ich würde fragen. Hat jemand eine live infizierte SysConst.pas-Datei gesehen und könnte mit etwas Beispielcode versehen sein, der dort nicht sein sollte? Damit wir durch die Maschinen laufen und sicherstellen können, dass wir kein Problem haben?
Dieser Artikel sollte die Informationen enthalten, nach denen Sie suchen.
Überprüfen Sie diesen Artikel, von dem Typ, der diesen Virus entdeckt hat
Siehe Kapitel "Bin ich infiziert?".
Ich habe den Virus analysiert. Die Information, die im Web zirkuliert, dass sie alle ausführbaren Dateien infiziert, die auf einem infizierten Computer kompiliert wurden, ist nicht ganz korrekt. Es infiziert nur ausführbare Dateien, die OHNE das VCL-Laufzeitpaket UND ohne Debug-DCUs kompiliert wurden.
Wenn Sie mit Paketen kompilieren, befindet sich die SysConst-Einheit bereits im kompilierten VCL-Paket, das nicht betroffen ist.
Und der Virus fügt sich nur zur Nicht-Debug-Version der SysConst.dcu-Datei hinzu.
Ansonsten ist das, was ich bisher im Web gelesen habe, genau. Der Virus kopiert die Datei SysConst.pas bis zur Zeile 'implementation' und hängt sich an die neue Datei an (SysConst.pas hat einen leeren Implementierungsabschnitt - es sind nur konstante Deklarationen). Es sichert die ursprüngliche SysConst.dcu auf SysConst.bak, kompiliert die infizierte Quellcode-Kopie in eine neue SysConst.dcu und löscht dann die Quellkopie. Schließlich legt sie das Erstellungs- und Änderungsdatum der Datei der neuen infizierten dcu-Datei so fest, dass sie mit der alten sauberen übereinstimmt. Hinterhältig!
Es macht nichts anderes als duplizieren - es gibt keine bösartige Nutzlast.
Ich habe es gesehen. Immer noch ein wenig verwirrt. Als die erste Notiz davon ausging, schaute ich nur auf die .pas-Datei. Ich habe mit der .pas-Datei nichts falsch gefunden und es für den Tag belassen. Dann recherchierte ich etwas genauer und ging zu den .dcu-Dateien. Ich habe zwei infizierte .DCU-Dateien gefunden. Beide waren 18K lang, anstatt 12K, was ein Tipp war. Der zweite Tipp fand das CreateFile mit 0,0,0,3,0,0 als die letzten sechs Parameter. Ich habe die nicht infizierte SysConst.DCU-Datei aus dem DEBUG-Ordner in LIB kopiert. Ich habe dann die Apps neu erstellt, die insgesamt fünf infiziert waren. Einer datiert zurück auf den 22. Juni. Die anderen in jüngerer Zeit. Eine App wurde am selben Wochenende erstellt wie zwei andere infizierte Apps, die als sauber gemeldet wurden. Aber ich habe es trotzdem umgebaut.
Ich habe den von Kapersky lizenzierten ZoneAlarm Security Suite Anti-Virus ausgeführt und er hat mir bis vor etwa fünf Stunden immer wieder saubere Berichte über die infizierten Apps gegeben. Ich musste die Apps mit Avast scannen! um zu erfahren, welche bis dahin tatsächlich infiziert waren. Ich hatte gezögert, ZA's AV zu verwerfen, aber das macht den Deal aus. Ich weiß, dass ich keine falschen Positive will, aber sie sind viel weniger nervig als irgendwelche verpassten Positive. Einer der fünf betroffenen Kunden war NICHT glücklich. Und ich kann ihm keine Vorwürfe machen.
Ein letztes interessantes Bit (ich benutze natürlich Delphi 7.1). Die neue (alte?) SysConst.dcu von debug ist 11.681 Bytes lang, während die .bak-Datei ich nehme an, dass die böse Sache, die aus dem Original erstellt wird, 11.658 Bytes lang ist. Ich weiß nicht, ob es wichtig ist, aber ich behalte beide herum. Und ich werde den DCU vor dem Kompilieren für die nächste Weile auschecken. Es ist eine Belastung, aber Paranoia regiert den Tag hier für die nächste Weile.
Dieser Artikel sollte die Informationen enthalten, nach denen Sie suchen.
Ich habe gerade festgestellt, dass eine kürzlich erfolgte Aktualisierung von Befehl übernehmen mit diesem Virus und einer Aktualisierung von NOD in. gemeldet wird Die letzten Stunden haben die Fähigkeit hinzugefügt, diesen Virus zu entdecken, weshalb ich darauf aufmerksam wurde. In diesem Fall sieht es nach dem Inhalt des Artikels aus, auf den ich in der Antwort, die ich akzeptiert habe, bezogen ist, dass es ein falsches positives Ergebnis ist.
Trotzdem ...
Offensichtlich läuft dieser Virus nur, wenn ein infiziertes Programm läuft, versucht dann aber, eine Delphi-Installation ausfindig zu machen, findet die Datei SysConst.pas und fügt den nötigen Code hinzu, damit Delphi neue Programme mit dem vorhandenen Virus kompiliert .
Ich habe Delphi jedoch nicht auf diesem Rechner installiert, daher sollte dieses Problem zumindest ein kleines sein, aber bei der Arbeit haben wir ein paar Maschinen mit Delphi installiert. Glücklicherweise habe ich nicht in einer aktualisierten Form meine Arbeitsmaschine, aber ich muss sagen, dass es in Delphi nicht viele andere Programme gibt, die in letzter Zeit geschrieben wurden und die Leute kürzlich aktualisiert haben ...
Also dachte ich, ich würde fragen. Hat jemand eine live infizierte SysConst.pas-Datei gesehen und könnte mit etwas Beispielcode versehen sein, der dort nicht sein sollte? Damit wir durch die Maschinen laufen und sicherstellen können, dass wir kein Problem haben?
Ok. Wir wurden getroffen. wir haben den Compiler zurückgespeichert, aber gibt es trotzdem einen infizierenden Agenten? Ich kann nicht glauben, dass es sich um eine Drive-by-Infektion handelt. Ich nehme an, was auch immer das zu unserer Bau-Box gegeben hat, hängt noch nicht herum.
Das morgendliche Standup-Meeting am Montag wird in unserem Geschäft sehr interessant sein.
Ich habe den Virus analysiert. Die Information, die im Web zirkuliert, dass sie alle ausführbaren Dateien infiziert, die auf einem infizierten Computer kompiliert wurden, ist nicht ganz korrekt. Es infiziert nur ausführbare Dateien, die OHNE das VCL-Laufzeitpaket UND ohne Debug-DCUs kompiliert wurden.
Wenn Sie mit Paketen kompilieren, befindet sich die SysConst-Einheit bereits im kompilierten VCL-Paket, das nicht betroffen ist.
Und der Virus fügt sich nur zur Nicht-Debug-Version der SysConst.dcu-Datei hinzu.
Ansonsten ist das, was ich bisher im Web gelesen habe, genau. Der Virus kopiert die Datei SysConst.pas bis zur Zeile 'implementation' und hängt sich an die neue Datei an (SysConst.pas hat einen leeren Implementierungsabschnitt - es sind nur konstante Deklarationen). Es sichert die ursprüngliche SysConst.dcu auf SysConst.bak, kompiliert die infizierte Quellcode-Kopie in eine neue SysConst.dcu und löscht dann die Quellkopie. Schließlich legt sie das Erstellungs- und Änderungsdatum der Datei der neuen infizierten dcu-Datei so fest, dass sie mit der alten sauberen übereinstimmt. Hinterhältig!
Es macht nichts anderes als duplizieren - es gibt keine bösartige Nutzlast.
Ich habe es gesehen. Immer noch ein wenig verwirrt. Als die erste Notiz davon ausging, schaute ich nur auf die .pas-Datei. Ich habe mit der .pas-Datei nichts falsch gefunden und es für den Tag belassen. Dann recherchierte ich etwas genauer und ging zu den .dcu-Dateien. Ich habe zwei infizierte .DCU-Dateien gefunden. Beide waren 18K lang, anstatt 12K, was ein Tipp war. Der zweite Tipp fand das CreateFile mit 0,0,0,3,0,0 als die letzten sechs Parameter. Ich habe die nicht infizierte SysConst.DCU-Datei aus dem DEBUG-Ordner in LIB kopiert. Ich habe dann die Apps neu erstellt, die insgesamt fünf infiziert waren. Einer datiert zurück auf den 22. Juni. Die anderen in jüngerer Zeit. Eine App wurde am selben Wochenende erstellt wie zwei andere infizierte Apps, die als sauber gemeldet wurden. Aber ich habe es trotzdem umgebaut.
Ich habe den von Kapersky lizenzierten ZoneAlarm Security Suite Anti-Virus ausgeführt und er hat mir bis vor etwa fünf Stunden immer wieder saubere Berichte über die infizierten Apps gegeben. Ich musste die Apps mit Avast scannen! um zu erfahren, welche bis dahin tatsächlich infiziert waren. Ich hatte gezögert, ZA's AV zu verwerfen, aber das macht den Deal aus. Ich weiß, dass ich keine falschen Positive will, aber sie sind viel weniger nervig als irgendwelche verpassten Positive. Einer der fünf betroffenen Kunden war NICHT glücklich. Und ich kann ihm keine Vorwürfe machen.
Ein letztes interessantes Bit (ich benutze natürlich Delphi 7.1). Die neue (alte?) SysConst.dcu von debug ist 11.681 Bytes lang, während die .bak-Datei ich nehme an, dass die böse Sache, die aus dem Original erstellt wird, 11.658 Bytes lang ist. Ich weiß nicht, ob es wichtig ist, aber ich behalte beide herum. Und ich werde den DCU vor dem Kompilieren für die nächste Weile auschecken. Es ist eine Belastung, aber Paranoia regiert den Tag hier für die nächste Weile.
Überprüfen Sie diesen Artikel, von dem Typ, der diesen Virus entdeckt hat
Siehe Kapitel "Bin ich infiziert?".