Hallo Leute,

wie Ihr vielleicht in den Nachrichten gelesen habt, ist momentan ein Virus unterwegs, der installierte Delphi Versionen so verändert, dass diese nur noch infizierte Kompilate erzeugen.

Da mittlerweile im DelphiGl Forum ein erstes Infiziertes Programm aufgetaucht ist und viele von euch auch dort unterwegs sind möchte ich euch bitten, einmal gezielt eure Delphi Installationen darauf zu untersuchen. Denn dieser Schädling fällt in unseren Kreisen wahrscheinlich auf sehr fruchtbaren Boden. Ich weiß nicht welche Virenscanner Ihn schon kennen, daher möchte ich empfehlen, dass ganze mit Kaspersky zu überprüfen. Eine kostenlose Demo Version davon kann hier herunter geladen werden.

Solltet ihr mit einem anderen Scanner infizierte Dateien entdecken, könnt ihr ihn ja hier nennen, damit anderer User vielleicht auf die Installation der Demo verzichten können.

Nach dem scann dann weiterhin

Happy Posting

Klabautermann

Korrekt!

Ich hatte den Virus. Unbekannte Quelle, kann mir nicht mal vorstellen woher.
vermute also, dass einige hier infiziert sind.
vl kann man hier bei Dateianhängen auf den Virus prüfen?

So lange man nicht als Administrator arbeitet, kann eigentlich nichts passieren, weil dem Virus die Schreibrechte fehlen.

Dazu gibt es in der DP schone eine Diskussion

ggf. wäre es praktisch, wie in der DP vorgeschlagen, ein "Detection Tool" zu schreiben, was die EXE-Dateien nicht nur nach dem String an sich durchsucht, sondern eine Reihe anderer Informationen ausliest:

- Moduldatum für System, SysInit und SysConst (Abgleich mit sauberen Kopien; jegliche Patchstände)
- Erkennung möglicher Varianten (modifizierte Sources, um Variationen zu erkennen)
- Inline-Patching, um den bösartigen Code wenn möglich auszuschalten*, bis nachhaltige Abhilfe verfügbar ist
- Funktionalität für Risiko-Analyse (Prüfung ob Infektion möglich)
- Funktionalität für IDE-Infektionserkennung (Prüfung ob eigene IDE(s) befallen)
- Weitere Ideen \ Vorschläge?

*Patchen der infizierten EXE mit dem Ziel, den zusätzlichen Code in SysConst zu deaktivieren\entfernen.

Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.

Ich habe gleich alles mal getestet und es wurde nichts gefunden, benutze auch Kaspersky.

Fragt sich nur, woher der Virus kommt. Ansonsten kann ich mal relativ sicher sagen, dass der bei mir nicht drauf ist, auch wenn ich jetzt nicht gescannt habe.

Heißt aber auf jeden Fall, dass ich mir vorübergehend erstmal keine EXEn aus dem Forum runterlade. Ich verstehe nur nicht, warum gerade Delphi -- so weit verbreitet sind wir doch auch wieder nicht, und erst recht nicht die alten Versionen.

Und dass der Computer-BILD sowas passiert, ist mehr als peinlich, auch wenn ich sie nicht lese.

Das hätte jeder anderen Zeitschrift oder Webseite passieren können, da zu diesem Zeitpunkt kein Scanner den Virus erkannt hat

Ööööhm mir ist gerade aufgefallen ich habe mir Kaspersky von dieser CD aufgespielt.

Habe mal alles gescannt aber nix gefunden, verwende auch kein Delphi 7.

Soll ich nochmal mit AntiVir drüberlaufen lassen?

Gut, das ich von D7 auf D2009 umgestiegen bin Nee, muss aber gleich die D7 und D3-Installation überprüfen ...

Aber, was mir grade auffällt (im DGL-Forum eben gelesen), wenn der Virus doch die SysConst.dcu ändert, damit compilierte Programme damit verseucht werden, sollte es nicht reichen, zu prüfen, ob die SysConst.dcu geändert wurde (wenn man jetzt kein Kaspersky hat oder installieren möchte) ?

Schau doch einfach, ob die SysConst.bak vorhanden ist (die legt der Virus ja freundlicherweise an). Wenn ja, eine Kopie dieser *.bak in SysConst.dcu umbenennen und die *.bak stehen lassen. Zumindest in dieser recht harmlosen Version soll angeblich dann Ruhe sein.

Die jetzuige Version erzeugt eine Kopie mit der Endung .bak. Momenatn reicht es also auf das Vorhandensein diese zu überprüfen bzw, diese anzulegen um eine Infizierung zu verhindern. Aber es könnte bald neuer Versionen geben, die nicht so leicht erkennbar sind

DeddyH hat folgendes geschrieben :

Schau doch einfach, ob die SysConst.bak vorhanden ist (die legt der Virus ja freundlicherweise an). Wenn ja, eine Kopie dieser *.bak in SysConst.dcu umbenennen und die *.bak stehen lassen. Zumindest in dieser recht harmlosen Version soll angeblich dann Ruhe sein.

Das verstehe, wer will.

Angeblich soll sich ja der Virus einfach nur weiterverbreiten.. Lädt der was aus dem Internet runter?

Jakob_Ullmann hat folgendes geschrieben :

Das verstehe, wer will.

Ich versteh es auch nicht

Jakob_Ullmann hat folgendes geschrieben :

Lädt der was aus dem Internet runter?

Man müsste mal die Unit, die er ändert, anschauen, ob da was runtergeladen wird, aber dazu muss man die Unit ja erstmal haben !

Ja denke auch das dies nicht der letzte Virus in die Richtung war. Wenn nicht vom ursprünglichen Autor verfasst dann von einer anderen Person.

Die derzeitige Version verbreitet sich, den Informationen nach, lediglich.

angeblich soll auch AntiVir von Avira den Virus schon erkennen. Testen würd ich es trotzdem nicht

lg elundril

Der Quelltext des Virus war zeitweise bei der DP zu bestaunen. Und der Virus hat sich nur verbreitet und sonst nichts gemacht.
Aber das Konzept ist so schön simpel, dass jedes Scriptkiddie das um Schadfunktionen erweitern könnte.

Gruß,
Jens

der quelltext des virus ist (leider) im web zu finden
er macht tatsächlich nichts, als sich zu verbreiten
sprich: ein einfacher wurm

ist also nur proof of concept

Hey Leute,
mich hat´s wohl auch erwischt. Aufgefallen ist es aber erst heute, nachdem wir ein Update auf unseren McAffee Scanner erhalten haben. Der hat plötzlich meine Programme "aufgefressen" und ich wusste nich warum. Da ich oft die SMTP-Kompos verwende hatte ich erst mal McAffee in Verdacht, dass er meine Programme nach dem update fälschlicherweise als "böse" eingestuft hat.
Der Tip mit der SysConst.bak Datei war Gold wert und hat sofort gefruchtet. Nu muss ich allerdings erst mal zusehen, dass ich alle Programm die ich in letzter Zeit kompiliert habe erneut und ohne Virus kompiliere. Leider ist anhand der SysConst.bak nicht zu erkennen seit wann ich die Sch... am Hals hatte.
Habt Ihr eine Ahnung seit wann dieser Quatsch im Umlauf ist???
Dank an dieses super Forum - ohne wäre ich garantiert verzweifelt!
Gruß Peter

der virus ist doch in der exe immer mit drin
durchsuch also einfach die dateien nach dem viruscode z.b. "uses Windows"