Autor |
Beitrag |
mkinzler
Beiträge: 4106
Erhaltene Danke: 13
Delphi 2010 Pro; Delphi.Prism 2011 pro
|
Verfasst: Mi 19.08.09 16:33
Zitat: |
Habt Ihr eine Ahnung seit wann dieser Quatsch im Umlauf ist??? |
www.delphipraxis.net...1068524.html#1068524
_________________ Markus Kinzler.
|
|
Sinspin
Beiträge: 1322
Erhaltene Danke: 117
Win 10
RIO, CE, Lazarus
|
Verfasst: Mi 19.08.09 16:43
Warum ausgerechnet Delphi? Warum nur die alten Versionen?
Da will wohl einer die Verkaufszahlen der neuen Versionen in die höhe treiben?
Was ich an der ganzen Sache so gruselig finde, das ganze geht ja mit nahezu jeder Unit und sicher auch in anderen Sprachen.
Selbst wenn die Delphi Installation schreibgeschützt sein sollte, hat man immer irgendwo Units rumliegen die manipuliert werden könnten ohne das es gleich auffällt.
Und es wird wohl immer so sein das Entwickler untereinander Programme und Quelltexte austauschen.
Nur lehrt einem das malwieder das man selbst fremde Quelltexte aufmerksam lesen sollte bevor man sie auf seinen Rechner loslässt.
_________________ Wir zerstören die Natur und Wälder der Erde. Wir töten wilde Tiere für Trophäen. Wir produzieren Lebewesen als Massenware um sie nach wenigen Monaten zu töten. Warum sollte unser aller Mutter, die Natur, nicht die gleichen Rechte haben?
|
|
BenBE
Beiträge: 8721
Erhaltene Danke: 191
Win95, Win98SE, Win2K, WinXP
D1S, D3S, D4S, D5E, D6E, D7E, D9PE, D10E, D12P, DXEP, L0.9\FPC2.0
|
Verfasst: Mi 19.08.09 16:50
Könnte bitte jemand mal schauen, wie die Prüfsummen der SysConst.dcu in den verschiedenen Delphi-Versionen ist?
Benötigt: CRC32, MD5, SHA1, SHA256\512 optional (aber wünschenswert); Zusätzlich die Timestamps.
Updatestände bitte mit angeben.
Wie oben bereits angedeutet, kann ich versuchen, ein kleines Check-Utility zu schreiben, was gezielt nach manipulierten SysConst-Units sucht (auch bei modifiziertem Virencode).
Solch ein Tool sollte sich IMHO recht simpel schreiben lassen.
_________________ Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.
|
|
Yogu
Beiträge: 2598
Erhaltene Danke: 156
Ubuntu 13.04, Win 7
C# (VS 2013)
|
Verfasst: Mi 19.08.09 16:59
Hallo BenBE,
ich verwende Turbo Delphi 2006 der Version 10.0.2288.42451 Update 2. Die Beschränkung auf ältere Versionen war doch nur eine Mutmaßung, das kann doch keiner genau sagen. HxD hat folgende Prüfsummen der SysConst.dcu berechnet:
Quelltext 1: 2: 3: 4: 5:
| CRC-32: 886DAD0C SHA-1: 9E2B498B63D178B0489B7C7D3DD6C183CD47E730 SHA-256: 88D634D1EB527D2744060DE305D9D7CC26BCC16771F0919C3989E0DFD35D1336 SHA-512: 2673ADBC07EB2B7CF84221388D2F12EFD932CE2FECBB9931472A05AE133628982C63F24638AA3DD172C16F4E8E42EAE20DD1D8885ED780EE5149096EF5F4F047 MD-5: D35842E4628F896361A32F27D7453FE8 |
Ich wäre dir sehr dankbar für ein solches Tool. Das wäre echt großartig!
|
|
thepaine91
Beiträge: 763
Erhaltene Danke: 27
Win XP, Windows 7, (Linux)
D6, D2010, C#, PHP, Java(Android), HTML/Js
|
Verfasst: Mi 19.08.09 16:59
Ich würde mich auf den Beitrag in diesem Forum nicht verlassen. Kann auch ein Fake sein..... (Existenzdauer)
Zuletzt bearbeitet von thepaine91 am Mi 19.08.09 18:07, insgesamt 1-mal bearbeitet
|
|
Yogu
Beiträge: 2598
Erhaltene Danke: 156
Ubuntu 13.04, Win 7
C# (VS 2013)
|
Verfasst: Mi 19.08.09 17:00
thepaine91 hat folgendes geschrieben : | Ich würde mich auf den Beitrag in diesem Forum nicht verlassen. Kann auch ein Fake sein..... (Existenzdauer) |
In welchem Forum meinst du? Vor dem Virus wurde doch schon von AntiVir und Kaspersky gewarnt!
|
|
Flamefire
Beiträge: 1207
Erhaltene Danke: 31
Win 10
Delphi 2009 Pro, C++ (Visual Studio)
|
Verfasst: Mi 19.08.09 17:58
|
|
Flamefire
Beiträge: 1207
Erhaltene Danke: 31
Win 10
Delphi 2009 Pro, C++ (Visual Studio)
|
Verfasst: Mi 19.08.09 17:59
da das nicht auf die sysconst.dcu beschränkt ist, würde ich eher vorschlagen, nach der virensigantur zu suchen
|
|
thepaine91
Beiträge: 763
Erhaltene Danke: 27
Win XP, Windows 7, (Linux)
D6, D2010, C#, PHP, Java(Android), HTML/Js
|
Verfasst: Mi 19.08.09 18:05
|
|
HelgeLange
Beiträge: 735
Erhaltene Danke: 6
Windows 7
Delphi7 - Delphi XE
|
Verfasst: Mi 19.08.09 18:30
Hier der Code, den der Virus anfügt :
Moderiert von Christian S.: Quelltext entfernt
Falls es jemanden interessiert...
_________________ "Ich bin bekannt für meine Ironie. Aber auf den Gedanken, im Hafen von New York eine Freiheitsstatue zu errichten, wäre selbst ich nicht gekommen." - George Bernhard Shaw
|
|
Tilman
Beiträge: 1405
Erhaltene Danke: 51
Win 7, Android
Turbo Delphi, Eclipse
|
Verfasst: Mi 19.08.09 18:56
In der DP wurde der Quelltext aus gutem Grund wie ich finde gelöscht, weil wir damit jedem Script-Kiddie die Möglichkeit geben seinen eigenen Virus zu basteln. Daher rufe ich die Mods auf den Beitrag zu zensieren.
P.S. danke trotzdem, hab ihn mir mal gespeichert - interessant ist es allemal
_________________ Bringe einen Menschen zum grübeln, dann kannst du heimlich seinen Reis essen.
(Koreanisches Sprichwort)
|
|
BenBE
Beiträge: 8721
Erhaltene Danke: 191
Win95, Win98SE, Win2K, WinXP
D1S, D3S, D4S, D5E, D6E, D7E, D9PE, D10E, D12P, DXEP, L0.9\FPC2.0
|
Verfasst: Mi 19.08.09 19:00
Der Grund, warum ich nach den Dateiprüfsummen frage, ist wie oben angedeutet die Möglichkeit, Variationen zu erkennen. Dies ist dadurch möglich, weil die DCU-Dateien von Delphi theoretisch nicht verändert werden sollten und daher jedwede Manipulation anhand der Prüfsumme besser erkannt werden kann, als mit der Suche nach der bekannten Virensignatur. Grad wenn einem die Möglichkeit geboten wird, anhand der typischen Nutzung Veränderungen i.d.R. auszuschließen, kann man hier wesentlich effektiver angreifen, als anhand von Signaturen, die ohne Umstände manipuliert oder geändert werden können.
_________________ Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.
|
|
jaenicke
Beiträge: 19276
Erhaltene Danke: 1741
W11 x64 (Chrome, Edge)
Delphi 11 Pro, Oxygene, C# (VS 2022), JS/HTML, Java (NB), PHP, Lazarus
|
Verfasst: Mi 19.08.09 19:04
pesi hat folgendes geschrieben : | Leider ist anhand der SysConst.bak nicht zu erkennen seit wann ich die Sch... am Hals hatte. |
Aber am Datum der neu erstellten Datei. Falls du die .dcu nicht bereits gelöscht hast, schau mal auf deren Datum. Ein Dateidatum verrät das jedenfalls (.dcu oder .bak), das habe ich in dem Thread (ich glaube) im DT gelesen.
|
|
Chemiker
Beiträge: 194
Erhaltene Danke: 14
XP, Vista 32 Bit, Vista 64 Bit, Win 7 64 Bit
D7, BDS 2006, RAD Studio 2009+C++, Delphi XE2, XE3, VS 2010 Prof.
|
Verfasst: Mi 19.08.09 20:02
Hallo,
Beiträge in den anderen deutschen Delphi – Foren:
Delphi Treff: forum.delphi-treff.d...owthread.php?t=27308
Delphi Praxis: www.delphipraxis.net...+infects+delphi.html
Bis bald Chemiker
|
|
Tilman
Beiträge: 1405
Erhaltene Danke: 51
Win 7, Android
Turbo Delphi, Eclipse
|
Verfasst: Mi 19.08.09 20:08
_________________ Bringe einen Menschen zum grübeln, dann kannst du heimlich seinen Reis essen.
(Koreanisches Sprichwort)
|
|
Flamefire
Beiträge: 1207
Erhaltene Danke: 31
Win 10
Delphi 2009 Pro, C++ (Visual Studio)
|
Verfasst: Mi 19.08.09 20:10
@BenBE: aber varianten werden dann u.U. andere Dateien infizieren. Ist es nicht pure willküre, die sysconst.dcu zu nehmen?
|
|
thepaine91
Beiträge: 763
Erhaltene Danke: 27
Win XP, Windows 7, (Linux)
D6, D2010, C#, PHP, Java(Android), HTML/Js
|
Verfasst: Mi 19.08.09 20:17
Flamefire dann kann man aber auch den Schadcode abändern was nicht wirklich schwierig ist. Schon erkennt man nach reiner Text suche nichts mehr.
Davon abgesehn ist das verändern von den DCU Datein ist laut AGB sogar VERBOTEN.
Mal so nebenbei
|
|
Tilman
Beiträge: 1405
Erhaltene Danke: 51
Win 7, Android
Turbo Delphi, Eclipse
|
Verfasst: Mi 19.08.09 20:24
_________________ Bringe einen Menschen zum grübeln, dann kannst du heimlich seinen Reis essen.
(Koreanisches Sprichwort)
|
|
mkinzler
Beiträge: 4106
Erhaltene Danke: 13
Delphi 2010 Pro; Delphi.Prism 2011 pro
|
Verfasst: Mi 19.08.09 20:27
Ich vermute mal, er meint die Weitergabe von veränderten Original-DCus. Geanugenommen geschieht das hier aber auch nicht.
_________________ Markus Kinzler.
|
|
himitsu
Beiträge: 40
|
Verfasst: Mi 19.08.09 20:37
prüfen, ob man Verseucht ist:
SysConst.dcu und mit Delphi erstellte Binaries nach "uses windows; var sc:array[1..24] of string" (ANSI) durchsuchen
> www.delphipraxis.net...1069971.html#1069971
entfernen:
%delphi%\Lib\SysConst.bak zurück in SysConst.dcu umbenennen,
verseuchte SysConst.dcu vorher löschen
und versuchte Binaries löschen, bzw. neu kompilieren
> www.delphipraxis.net...1070123.html#1070123
sich schützen:
eine leere %delphi%\Lib\SysConst.bak erstellen
dieses betrifft aber nur die aktuellen Version dieses Virus
besser wäre es, die Sicherheit des PCs zu bereinigen und Programmen erst garkeine Schreibrechte in dem betreffenden Ordnern zu gewähren.
_________________ warum einfach wenn's auch kompliziert geht
schreib wie du willst und halt dich an keine standards
|
|