Do virusscanners already recognize the infected dcu?
All i know is some can detect applications compiled with the infected dcu. I used a free trial of Sophos to find all the apps that were infected. Funnily enough i got infected by a game im maintaining (Well they sent me a free copy of the game which i think was infected.. Fits in with the timescale (Only apps after i got the game were infected)).
Registriert: Do Jul 23, 2009 04:33 Beiträge: 157
Programmiersprache: Turbo Delphi Pro
@Bergmann da bisher kein Scanner darauf ansprang kannst du absolut nichts dafür, also keine Panik, und mach trotzdem weiter mit WormholeSurfer, will die nächste Version spielen
@Lossy ich meinte nicht den original Code von Delphi, den verwende ich auch oft wenn ich wissen will wie dieses und jenes definiert ist. Ich meine den original - sagen wir Pascal-Code des Virus. Der wurde z.B. in der Delphi-Praxis gepostet (ist mittlerweile aber entfernt).
_________________ Bringe einen Menschen zum grübeln, dann kannst du heimlich seinen Reis essen. (Koreanisches Sprichwort)
Hast du den noch? Ich bräuchte den für... "Feldstudien"
_________________ Denn wer nur schweigt, weil er Konflikte scheut, der macht Sachen, die er hinterher bereut. Und das ist verkehrt, denn es ist nicht so schwer, jeden Tag zu tun als ob's der letzte wär’. Und du schaust mich an und fragst ob ich das kann. Und ich denk, ich werd' mich ändern irgendwann. _________________Farin Urlaub - Bewegungslos
Wie ich schon an anderen Stellen geschrieben habe:
Das ist wie, wenn ne Zecke ne Zecke hat. Ein Trojaner mit Virus, das ist irgendwie GEIL. ^^
_________________ Denn wer nur schweigt, weil er Konflikte scheut, der macht Sachen, die er hinterher bereut. Und das ist verkehrt, denn es ist nicht so schwer, jeden Tag zu tun als ob's der letzte wär’. Und du schaust mich an und fragst ob ich das kann. Und ich denk, ich werd' mich ändern irgendwann. _________________Farin Urlaub - Bewegungslos
Registriert: Do Dez 05, 2002 10:35 Beiträge: 4234 Wohnort: Dortmund
Tilman hat geschrieben:
@Lossy ich meinte nicht den original Code von Delphi, den verwende ich auch oft wenn ich wissen will wie dieses und jenes definiert ist. Ich meine den original - sagen wir Pascal-Code des Virus. Der wurde z.B. in der Delphi-Praxis gepostet (ist mittlerweile aber entfernt).
Ah. Dann hab ich dich missverstanden. Und was den Virus angeht. Der packt von sich aus seinen Code in die SysConts und ruft dann den Kommandozeilencompiler von Delphi auf um eine DCU zu erstellen. Entsprechend müssten infizierte Anwendungen als Stringkonstanten den Quellcode enthalten bzw würde kurzzeitig eine Version der SysConsts erstellt werden die die Verbreitungsroutine im Klartext enthält.
Registriert: Di Jul 01, 2003 18:59 Beiträge: 887 Wohnort: (The Netherlands)
Programmiersprache: fpc/delphi/java/c#
Can the delphi dcu be protected with an checksum? And run a check on that once in a while?
So do a clean install, make checksums, only when delphi is updated new checksum must be made.
Actualy delphi should have a feature like this build in and display a warning when such happens. It should give you an option to update the checksum when you want to use an updated version yourselves.
With the pro versions providing the sources, do not these get recompiled? So with the original sysconst.dcu mangled with the virus cannot we recompile the sysconst.pas to get a new clean .dcu?
Registriert: Do Dez 05, 2002 10:35 Beiträge: 4234 Wohnort: Dortmund
Im thinking about to remove the write right on my Delphi installations. Primary the bin and lib directory. So the IDE should work as normal and changing of these files shouldnt work. But. No tested.
For checksum. Im not sure. But there are several tools like md5sum or so. In my opinion i mean there exists tools they can calculate and check complete dirs.
Registriert: Do Sep 25, 2003 15:56 Beiträge: 7804 Wohnort: Sachsen - ERZ / C
Programmiersprache: Java (, Pascal)
Das functioniert glaube ich nicht. Unter Windows kann man schreibgeschützte Dateien nicht ändern, aber man kann sie löschen und neu erstellen. Ich weiß aber nicht, ob ein Schreibschutz auf Ordnerebene das Problem umgeht.
_________________ Blog: kevin-fleischer.de und fbaingermany.com
Unter NTFS kann man die Dateirechte so anpassen dass man nicht mehr schreiben kann. (Standard wenn man es in C:\Programme hat und nicht als Admin angemeldet ist)
_________________ 2+2=5 For extremely large values of two
Can the delphi dcu be protected with an checksum? And run a check on that once in a while? So do a clean install, make checksums, only when delphi is updated new checksum must be made. Actualy delphi should have a feature like this build in and display a warning when such happens. It should give you an option to update the checksum when you want to use an updated version yourselves.
With the pro versions providing the sources, do not these get recompiled? So with the original sysconst.dcu mangled with the virus cannot we recompile the sysconst.pas to get a new clean .dcu?
The "Virus" (I h8 calling it that as it has no payload) copies the SysConst.pas file to your lib directory and then adds in its own code to the copy. It then compiles it into a dcu using Delphi's compiler. After that it deletes the SysCont copy. (Note: It does make a backup of your old SysConst.dcu)
Since its already posted on the net its code is below (For you to study if you wish):
Code:
uses windows;
var sc:array[1..24]ofstring=('uses windows; var sc:array[1..24] of string=(',
'function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]',
// *** cut
'1; while c[i]<>#0 do begin r:=r+c[i];inc(i);end;re(r+$\source\rtl\sys\SysConst$+',
Mitglieder in diesem Forum: 0 Mitglieder und 29 Gäste
Du darfst keine neuen Themen in diesem Forum erstellen. Du darfst keine Antworten zu Themen in diesem Forum erstellen. Du darfst deine Beiträge in diesem Forum nicht ändern. Du darfst deine Beiträge in diesem Forum nicht löschen. Du darfst keine Dateianhänge in diesem Forum erstellen.