Новый вирус для Delphi - Induc

Его описание здесь
ссылка

Скачал задание с какого-то проекта. Не помню какого. Разработка программы для учета продажи дисков. Прикладное ПО.
Там по заданию надо было написать что-то подобное и немного доработать. SuperBaza.exe - исполняемый файл там был.
Среди своих проектов не могу найти, хотя предложение подавал. Видимо проект за что-то удалили.

Сегодня нашел вирус. Источник именно в том файле (вирус не файловый). Если прочтете его описание, то поймете что вирус интересный. У меня он проделал все то, что указано в описание.
И новые программы компилировались уже с вирусом
Это хорошо что я его быстро обнаружил и ни кому еще не отослал программы, а то бы заказчики меня, мягко говоря,не поняли, если бы их антивирус в моей программе нашел вирус.

У кого установлена Delphi, вас это касается.

Прочитал, оригинально, буду бдителен =)
Да, представляю какой ботнет можно было бы создать...

Забавно. Интересный метод распространения.

Сегодня утром нашел у себя в кипе.

Нашел пару дней назад, заражено уже было куча экзешников и пара дельфийских библиотек, принес с работы там уже пол сетки в этой заразе . Ловится только самыми последними обновлениями касперского, по крайней мере на вчерашний день нод32 и др. веб его пропускали.

Ага. Сегодня утром nod 2.7 его еще не видел. В обед увидел. Обновляется по нескольку раз в день.

А. Да. Забыл сказать. QIP 8094 был заражен этим вирусом. Разработчики уже его пересобрали до 8095.
Много тем на форумах по этому поводу.
Например ссылка

Цитата ("AndrewH"):

QIP 8094 был заражен этим вирусом.

ага, еще можете в AIMPе его поискать как я понял практически все ПО, которое собирается на делфе уже с ним...

Цитата ("Igor_Kh"):

Цитата ("AndrewH"):

QIP 8094 был заражен этим вирусом.

ага, еще можете в AIMPе его поискать как я понял практически все ПО, которое собирается на делфе уже с ним...

Что лишний раз доказывает популярность Delphi

До такого метода я лет так 12 тому назад додумался, но хватило фантазии не реализовывать, хотя исходников по дискам в институте дофига валялось.

У меня такой. Счас буду чистить.

По поводу лечения рекомендую прочесть первый пост здесь:

ссылка

Цитата ("oldbadger"):

Ага. Меня особенно умиляет, что Касперский нашёл этот "вирус" во всех ZIP и RAR архивах с моими проектами, в том числе, упакованными 2.5 года назад. Думаю, что если поискать архивы на CD эдак 5-летней давности, там тоже всё будет "заражено".
Вирус-то, может и есть, но вот сигнатуру его точно неверно вычислили. А панику развели, так как после отпусков бабла можно срубить.

Я сначала тоже подумал что проблема с неверной сигнатурой. Просто открыл в текстовом редакторе Sysconst.dcu и убедился что там почти открытым текстом функция и есть строки типа GetFileTime(...), SetFileTime(...), что-то по процессам и много чего интресного другого. Не могу процитировать. Не оставил зараженного dcu. В Sysconst.pas конечно всей этой ерунды нету и быть не может.

Да уж точно нужно быть по внимательнее...спасибо за предосторежение!...
----
ссылка

Цитата ("oldbadger"):

Ага. Меня особенно умиляет, что Касперский нашёл этот "вирус" во всех ZIP и RAR архивах с моими проектами, в том числе, упакованными 2.5 года назад.

Разве вирус не может модифицировать файлы в архиве? Что собственно ему может помешать?
Была у меня дрянь - заражала именно архивы, еще и плагины качала для новых форматов архивов...

По поводу лечения:
- просто _копировать_ Sysconst.bak в .dcu

Я почистил комп. А за вчерашний день, он пытался проникнуть снова раз 8.

Цитата ("prishelec"):

Я почистил комп. А за вчерашний день, он пытался проникнуть снова раз 8.

Что значит "проникнуть"?
- Вы 8 раз запускали какой-то зараженный файл?
- Вам в расшаренную папку кидали этот вирус 8 раз?

Цитата ("oldbadger"):

Чтоб залезть и в ZIP и в RAR нужно много кода прописать

Да, целых 3 строки.