Delphi Virus

mkinzler · Verfasst: Mi 19.08.09 16:33

Zitat:

Habt Ihr eine Ahnung seit wann dieser Quatsch im Umlauf ist???

www.delphipraxis.net...1068524.html#1068524

_________________
Markus Kinzler.

Sinspin · Verfasst: Mi 19.08.09 16:43

Warum ausgerechnet Delphi? Warum nur die alten Versionen?
Da will wohl einer die Verkaufszahlen der neuen Versionen in die höhe treiben? :lol:

Was ich an der ganzen Sache so gruselig finde, das ganze geht ja mit nahezu jeder Unit und sicher auch in anderen Sprachen.
Selbst wenn die Delphi Installation schreibgeschützt sein sollte, hat man immer irgendwo Units rumliegen die manipuliert werden könnten ohne das es gleich auffällt.
Und es wird wohl immer so sein das Entwickler untereinander Programme und Quelltexte austauschen.
Nur lehrt einem das malwieder das man selbst fremde Quelltexte aufmerksam lesen sollte bevor man sie auf seinen Rechner loslässt.

_________________
Wir zerstören die Natur und Wälder der Erde. Wir töten wilde Tiere für Trophäen. Wir produzieren Lebewesen als Massenware um sie nach wenigen Monaten zu töten. Warum sollte unser aller Mutter, die Natur, nicht die gleichen Rechte haben?

BenBE · Verfasst: Mi 19.08.09 16:50

Könnte bitte jemand mal schauen, wie die Prüfsummen der SysConst.dcu in den verschiedenen Delphi-Versionen ist?
Benötigt: CRC32, MD5, SHA1, SHA256\512 optional (aber wünschenswert); Zusätzlich die Timestamps.
Updatestände bitte mit angeben.

Wie oben bereits angedeutet, kann ich versuchen, ein kleines Check-Utility zu schreiben, was gezielt nach manipulierten SysConst-Units sucht (auch bei modifiziertem Virencode).

Solch ein Tool sollte sich IMHO recht simpel schreiben lassen.

_________________

Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.

Yogu · Verfasst: Mi 19.08.09 16:59

Hallo BenBE,

ich verwende Turbo Delphi 2006 der Version 10.0.2288.42451 Update 2. Die Beschränkung auf ältere Versionen war doch nur eine Mutmaßung, das kann doch keiner genau sagen. HxD hat folgende Prüfsummen der SysConst.dcu berechnet:

markieren

Quelltext

1:
2:
3:
4:
5:

CRC-32: 886DAD0C
SHA-1: 9E2B498B63D178B0489B7C7D3DD6C183CD47E730
SHA-256: 88D634D1EB527D2744060DE305D9D7CC26BCC16771F0919C3989E0DFD35D1336
SHA-512: 2673ADBC07EB2B7CF84221388D2F12EFD932CE2FECBB9931472A05AE133628982C63F24638AA3DD172C16F4E8E42EAE20DD1D8885ED780EE5149096EF5F4F047
MD-5: D35842E4628F896361A32F27D7453FE8

Ich wäre dir sehr dankbar für ein solches Tool. Das wäre echt großartig!

thepaine91 · Verfasst: Mi 19.08.09 16:59

mkinzler hat folgendes geschrieben:

Habt Ihr eine Ahnung seit wann dieser Quatsch im Umlauf ist???

(www.delphipraxis.net...068524.html#1068524)

Ich würde mich auf den Beitrag in diesem Forum nicht verlassen. Kann auch ein Fake sein..... (Existenzdauer)

Yogu · Verfasst: Mi 19.08.09 17:00

thepaine91 hat folgendes geschrieben :

Ich würde mich auf den Beitrag in diesem Forum nicht verlassen. Kann auch ein Fake sein..... (Existenzdauer)

In welchem Forum meinst du? Vor dem Virus wurde doch schon von AntiVir und Kaspersky gewarnt!

Flamefire · Verfasst: Mi 19.08.09 17:58

Delphi 7 Enterprise Build 4453
Lib/sysconst.dcu

markieren

Quelltext

1:
2:
3:
4:
5:

CRC-32 (Ethernet und PKZIP): 430FA322
SHA-1: ACD0E9E55223D7B264EFA869442D3356E689FA31
SHA-256: 02CE5FCCA782D86EDB21592DC3EBC3440B9E4B21A7AADE8B2B52D740AA681228
SHA-512: 1DBC0FE24B8653924D1F8D7114E240467148C9BBFAE3CBDA0D4B9FD45232C139B8B4E995695F589A41CA48C052D0AD18289B9E6942A7485A1F2724C66F68ABC1
MD-5: 43626F0A571089BE00B844B711B8EC12

lib/debug/sysconst.dcu

markieren

Quelltext

1:
2:
3:
4:
5:

CRC-32 (Ethernet und PKZIP): 04C7068B
SHA-1: E185B6AD25072C8C73D997A6BA7ACD5CC6CF6582
SHA-256: DFB526923932B5E8BC0718A701B9C686DCA1C78465CC7A5AB02146B296459427
SHA-512: 38C478749268982089BBFB71D0FC01E4237EB7353533CDBADA2079F1070E4B33A89F4B19A6988759D2EFF8126D101B9BFFD6EADF196DA2FED6588B8814A5A93A
MD-5: EB5570071619E017096FB93946259CE3

D2009 SP3
Lib:

markieren

Quelltext

1:
2:
3:
4:
5:

CRC-32 (Ethernet und PKZIP): 51CF3C1E
SHA-1: 9850D58A7FCE350C1CC89CFE68676384520F51E2
SHA-256: 32967C1F231859FB3D20BB67A1260FB84E28B4221EB273BF65C4FE257B5C7A97
SHA-512: B26DBE96E623A90226B5773AF59870586095713A5B90B552858CB06130A567468B4A9EFB570D97404CCCD4C08EFD55EC682B5B443197D1B2B1E285A1709FC66C
MD-5: C8049196CCF023597380B45DAF37568C

Lib/debug

markieren

Quelltext

1:
2:
3:
4:
5:

CRC-32 (Ethernet und PKZIP): 0C052840
SHA-1: 6222DC83A49D5893F51FE84C7AE4DA714D8A6D97
SHA-256: 85C467E885409A2BF537FE8A364836C4700E8812C7BC8C6852369CCF3927E780
SHA-512: 4846281D4DBC22507DBE8EF6115020A29FCC07B5171EA0685F30ACE87039047C3EF01553D7E4F6105F471666F30D1E7035D4C6866DA6FE3DB6BDEB74D59D8F3F
MD-5: 8940682EABF5503667D362AF9F685311

Moderiert von Klabautermann: Code-Tags hinzugefügt

Flamefire · Verfasst: Mi 19.08.09 17:59

da das nicht auf die sysconst.dcu beschränkt ist, würde ich eher vorschlagen, nach der virensigantur zu suchen

thepaine91 · Verfasst: Mi 19.08.09 18:05

@Yogu bezog sich auf

mkinzler hat folgendes geschrieben:

Habt Ihr eine Ahnung seit wann dieser Quatsch im Umlauf ist???

(www.delphipraxis.net...068524.html#1068524)

HelgeLange · Verfasst: Mi 19.08.09 18:30

Hier der Code, den der Virus anfügt :

Moderiert von Christian S.: Quelltext entfernt

Falls es jemanden interessiert...

_________________
"Ich bin bekannt für meine Ironie. Aber auf den Gedanken, im Hafen von New York eine Freiheitsstatue zu errichten, wäre selbst ich nicht gekommen." - George Bernhard Shaw

Tilman · Verfasst: Mi 19.08.09 18:56

In der DP wurde der Quelltext aus gutem Grund wie ich finde gelöscht, weil wir damit jedem Script-Kiddie die Möglichkeit geben seinen eigenen Virus zu basteln. Daher rufe ich die Mods auf den Beitrag zu zensieren.

P.S. danke trotzdem, hab ihn mir mal gespeichert - interessant ist es allemal

_________________
Bringe einen Menschen zum grübeln, dann kannst du heimlich seinen Reis essen.
(Koreanisches Sprichwort)

BenBE · Verfasst: Mi 19.08.09 19:00

Der Grund, warum ich nach den Dateiprüfsummen frage, ist wie oben angedeutet die Möglichkeit, Variationen zu erkennen. Dies ist dadurch möglich, weil die DCU-Dateien von Delphi theoretisch nicht verändert werden sollten und daher jedwede Manipulation anhand der Prüfsumme besser erkannt werden kann, als mit der Suche nach der bekannten Virensignatur. Grad wenn einem die Möglichkeit geboten wird, anhand der typischen Nutzung Veränderungen i.d.R. auszuschließen, kann man hier wesentlich effektiver angreifen, als anhand von Signaturen, die ohne Umstände manipuliert oder geändert werden können.

_________________

Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.

jaenicke · Verfasst: Mi 19.08.09 19:04

pesi hat folgendes geschrieben :

Leider ist anhand der SysConst.bak nicht zu erkennen seit wann ich die Sch... am Hals hatte.

Aber am Datum der neu erstellten Datei. Falls du die .dcu nicht bereits gelöscht hast, schau mal auf deren Datum. Ein Dateidatum verrät das jedenfalls (.dcu oder .bak), das habe ich in dem Thread (ich glaube) im DT gelesen.

Chemiker · Verfasst: Mi 19.08.09 20:02

Hallo,

Beiträge in den anderen deutschen Delphi – Foren:

Delphi Treff: forum.delphi-treff.d...owthread.php?t=27308

Delphi Praxis: www.delphipraxis.net...+infects+delphi.html

Bis bald Chemiker

Tilman · Verfasst: Mi 19.08.09 20:08

delphigl.com:

www.delphigl.com/for...r=asc&highlight=

_________________
Bringe einen Menschen zum grübeln, dann kannst du heimlich seinen Reis essen.
(Koreanisches Sprichwort)

Flamefire · Verfasst: Mi 19.08.09 20:10

@BenBE: aber varianten werden dann u.U. andere Dateien infizieren. Ist es nicht pure willküre, die sysconst.dcu zu nehmen?

thepaine91 · Verfasst: Mi 19.08.09 20:17

Flamefire dann kann man aber auch den Schadcode abändern was nicht wirklich schwierig ist. Schon erkennt man nach reiner Text suche nichts mehr.

Davon abgesehn ist das verändern von den DCU Datein ist laut AGB sogar VERBOTEN.
Mal so nebenbei

Tilman · Verfasst: Mi 19.08.09 20:24

thepaine91 hat folgendes geschrieben :

Davon abgesehn ist das verändern von den DCU Datein ist laut AGB sogar VERBOTEN.
Mal so nebenbei

Ernsthaft? Der Virus benutzt den Delphi-Compiler um damit die Datei neu zu kompilieren - kann mir nicht vorstellen dass das gegen die AGB ist (aml abgesehen davon dass Viren selbst natürlich illegal sind)

_________________
Bringe einen Menschen zum grübeln, dann kannst du heimlich seinen Reis essen.
(Koreanisches Sprichwort)

mkinzler · Verfasst: Mi 19.08.09 20:27

Ich vermute mal, er meint die Weitergabe von veränderten Original-DCus. Geanugenommen geschieht das hier aber auch nicht.

_________________
Markus Kinzler.

himitsu · Beiträge: 40

prüfen, ob man Verseucht ist:
SysConst.dcu und mit Delphi erstellte Binaries nach "uses windows; var sc:array[1..24] of string" (ANSI) durchsuchen
> www.delphipraxis.net...1069971.html#1069971

entfernen:
%delphi%\Lib\SysConst.bak zurück in SysConst.dcu umbenennen,
verseuchte SysConst.dcu vorher löschen
und versuchte Binaries löschen, bzw. neu kompilieren
> www.delphipraxis.net...1070123.html#1070123

sich schützen:
eine leere %delphi%\Lib\SysConst.bak erstellen

dieses betrifft aber nur die aktuellen Version dieses Virus
besser wäre es, die Sicherheit des PCs zu bereinigen und Programmen erst garkeine Schreibrechte in dem betreffenden Ordnern zu gewähren.

_________________
warum einfach wenn's auch kompliziert geht
schreib wie du willst und halt dich an keine standards

	Mitgliederliste
	Gruppen
	Das Team
	Richtlinien
	Synonyme