Рождение новой угрозы в Delphi

K

Kotofff

Member
Joined
Sep 28, 2008
Messages
25
Reaction score
38
Location
Россия. Кубань.
Website
kotoff.info
Специфичный Delphi-вирус
В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland \Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значение ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса.

Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.

Подробности ТУТ
Первые встречи с этой дрянью...
 
Last edited by a moderator:
E

eddoc

Member
Joined
Oct 1, 2008
Messages
130
Reaction score
456
Age
16
Kotofff said:
и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются
Click to expand...
не все. У меня до сих пор проект, переносимый между двумя машинами (на одной из которых есть этот самый преславутый *.bak), с "чистой" дельфей так ничего и не сделал. И эту самую ошибку я так до сих пор не видел в глаза. :p

кстати, файлик я всеже пофиксил. Мало ли чего... ;)
 
Last edited by a moderator:
asm64d

asm64d

Member
Joined
Jun 14, 2008
Messages
943
Reaction score
9,629
Вообщем народ в инете раскололся на два фронта, кто-то верит в это сообщение, кто-то считает рекламным ходом для рекламы блога автора антипиара Квипа. Самое интересное что на просьбу выложит версию квипа который портит файлы, автор инфы (GunSmoker) ответил отказом так что повторит эксперемент не могу. У меня D7 и D5 - проблем не обнаружено, квип присутсвует.
 
A

ASGDeveloper

Member
Joined
Jun 2, 2008
Messages
42
Reaction score
34
D

debose

Member
Joined
Sep 17, 2008
Messages
50
Reaction score
67
asm64d said:
Вообщем народ в инете раскололся на два фронта, кто-то верит в это сообщение, кто-то считает рекламным ходом для рекламы блога автора антипиара Квипа. Самое интересное что на просьбу выложит версию квипа который портит файлы, автор инфы (GunSmoker) ответил отказом так что повторит эксперемент не могу. У меня D7 и D5 - проблем не обнаружено, квип присутсвует.
Click to expand...

Дался вам этот квип. Не в квипе дело, а в том что есть вирус нацеленный на Delphi. Просто так совпало, что нашли его с помощью квипа.
 
asm64d

asm64d

Member
Joined
Jun 14, 2008
Messages
943
Reaction score
9,629
Интересно почему он нацелен только на D7 и меньше, а не на D2005-2009. Вообщем обкат технологии заражения произошел.
 
D

debose

Member
Joined
Sep 17, 2008
Messages
50
Reaction score
67
asm64d said:
Интересно почему он нацелен только на D7 и меньше, а не на D2005-2009. Вообщем обкат технологии заражения произошел.
Click to expand...

Касперский вчера добавил этот вирус в свои базы. И судя по названию(номеру), это уже модификация. Первая версия этоговируса в базах датирована 2005 годом.
 
B

BaryVetaL

New member
Joined
Aug 27, 2009
Messages
1
Reaction score
0
Age
38
asm64d said:
Интересно почему он нацелен только на D7 и меньше, а не на D2005-2009. Вообщем обкат технологии заражения произошел.
Click to expand...

Скорее всего это связано с тем, что писалось это все на D7 ;)
 
You must log in or register to reply here.
Top