1. casa
  2. Domanda e risposta
  3. Win32/Induc.A, "Delphi" -virus, infetta SysConst.pas, qualcuno ha un campione di codice da cercare?

Win32/Induc.A, "Delphi" -virus, infetta SysConst.pas, qualcuno ha un campione di codice da cercare?

2009-08-19 21 views
8

Ho appena notato che un recente aggiornamento di Take Command è stato segnalato come infetto da questo virus e un aggiornamento a NOD nelle ultime ore ha aggiunto la possibilità di rilevare tale virus, motivo per cui ne sono venuto a conoscenza. In questo caso, a giudicare dal contenuto dell'articolo correlato alla risposta che ho accettato, sembra che sia un falso positivo.Win32/Induc.A, "Delphi" -virus, infetta SysConst.pas, qualcuno ha un campione di codice da cercare?

Tuttavia ...

A quanto pare, questo virus viene eseguito solo quando un programma infetto viene eseguito, ma poi tenta di individuare un impianto Delphi, trova il file SysConst.pas, e aggiunge il codice necessario in là per fare Delphi compila nuovi programmi con il virus in atto.

Non ho installato Delphi su questa macchina, tuttavia, in modo da rendere almeno questo problema un po 'qui, ma al lavoro abbiamo alcune macchine con Delphi installato. Fortunatamente non ho il Take Command in una forma aggiornata della mia macchina da lavoro, ma di chi non ci sono molti altri programmi scritti in Delphi che le persone hanno aggiornato di recente ...

Così, ho pensato di chiederlo Qualcuno ha visto un file SysConst.pas infetto dal vivo e potrebbe fornire qualche codice di esempio che non dovrebbe essere lì? In modo che possiamo correre attraverso le macchine e garantire che non abbiamo un problema?

fonte

2009-08-19 Lasse Vågsæther Karlsen

+4

Impressionante! uhm ... o sono l'unico che trova questa creatività? –

+0

Beh, ad essere onesti sarebbe stato molto più intelligente se fosse rimasto residente, collegando ReadFile e funzioni API simili, e poi consegnato un file infetto a Delphi su ogni compilazione, invece di regolare il file su disco. Inoltre, ho letto un libro molto tempo fa in cui il badguy lavorava sul team del compilatore e faceva compilare al compilatore un virus nel codice compilato, in questo modo non c'erano tracce nel codice sorgente del virus, solo nell'eseguibile compilato. Ma sì, creativo :) –

+0

Sai cos'è il libro? Non posso fare a meno di chiedermi se è stato ispirato da un exploit di vita reale: http://cm.bell-labs.com/who/ken/trust.html –

risposta

8

This article dovrebbe avere le informazioni che stai cercando.

fonte

2009-08-19 19:03:16

3

L'ho visto. Ancora un po 'confuso da ciò. Quando è uscito il primo avviso, ho solo guardato il file .pas. Non ho trovato nulla di sbagliato nel file .pas e l'ho lasciato per il giorno. ALLORA ho studiato un po 'più attentamente e sono andato a guardare i file .dcu. Ho trovato DUE file .DCU infetti. Entrambi erano lunghi 18K, piuttosto che 12K, che era un tipoff. Il secondo tipoff è stato trovare il CreateFile con 0,0,0,3,0,0 come gli ultimi sei parametri. Ho copiato il file SysConst.DCU non infetto dalla cartella DEBUG in LIB. Poi ho ricostruito le app che erano state infettate, cinque in tutto. Uno risaliva al 22 giugno. Gli altri più di recente. Un'app ha generato lo stesso fine settimana di altre due app infette, segnalate come pulite. Ma l'ho ricostruito comunque.

Ho eseguito ZoneAlarm Security Suite Anti-Virus, concesso in licenza da Kapersky, e ha continuato a darmi rapporti chiari sulle app infette fino a circa cinque ore fa. Ho dovuto scansionare le app con Avast! per scoprire quali sono stati effettivamente infettati fino ad allora. Ero stato in bilico scartando AV di ZA, ma questo conclude l'accordo. So che non voglio alcun falso positivo, ma sono molto meno fastidiosi di tutti i positivi persi. Uno dei cinque clienti interessati NON era felice. E non posso biasimarlo.

Un ultimo bit interessante (sto usando Delphi 7.1 ovviamente). Il nuovo (vecchio?) SysConst.dcu dal debug è lungo 11.681 byte, mentre il file .bak suppongo che il brutto pezzo di lavoro creato dall'originale sia lungo 11.658 byte. Non so se è significativo, ma sto mantenendo entrambi. E controllerò il dcu prima di compilarlo per un po '. È un disturbo, ma la paranoia governa la giornata da queste parti per un po '.

fonte

2009-08-20 05:20:23

5

Ho analizzato il virus. Le informazioni che circolano sul web, che infettano tutti gli eseguibili compilati su una macchina infetta, non sono del tutto corrette. Infetta solo gli eseguibili compilati SENZA il pacchetto di runtime VCL E senza debug DCU.

Se si compila con i pacchetti, l'unità SysConst è già nel pacchetto VCL compilato, che non è interessato.

E il virus si aggiunge solo alla versione non debug del file SysConst.dcu.

In caso contrario, quello che ho letto finora sul web è accurato. Il virus copia il file SysConst.pas fino alla riga "implementazione", quindi si aggiunge al nuovo file (SysConst.pas ha una sezione di implementazione vuota - sono solo dichiarazioni costanti). Esegue il backup dell'originale SysConst.dcu in SysConst.bak, compila la copia del codice sorgente infetto in un nuovo SysConst.dcu e quindi elimina la copia di origine. Infine, imposta la data di creazione e modifica del nuovo file dcu infetto in modo che corrisponda al vecchio pulito. Subdolo!

Non fa altro che duplicare - non c'è carico utile maligno.

fonte

2009-08-20 17:18:49

1

Ok. quindi siamo stati colpiti abbiamo ripristinato il compilatore, ma è comunque necessario rimuovere/identificare l'agente infettante? Non posso credere che sia un'infezione da drive-by. Suppongo che tutto ciò che ha dato alla nostra scatola di costruzione non sia ancora in giro.

L'incontro in piedi di questo lunedì mattina sarà molto interessante nel nostro negozio ...

fonte

2009-08-21 14:11:35 MikeJ

+0

Basta eseguire una scansione completa del sistema con il tuo antivirus e troverà il colpevole (se non già cancellato).Questo virus innocuo (questa volta) è in circolazione da aprile ma i principali controllori del virus hanno iniziato a rilevarlo solo questa settimana, causando i grattacapi in tutto il mondo. – frogb

Problemi correlati

 Problemi correlati