Registriert: Do Sep 25, 2003 15:56 Beiträge: 7804 Wohnort: Sachsen - ERZ / C
Programmiersprache: Java (, Pascal)
Wie gerade von unserem Member Ziz berichtet wird, hat heute heise online über einen Virus berichtet, der die "SysConst.dcu" mit einer eigenen Version überschreibt und damit in alle erzeugten Programme einkompiliert wird.
Mehr Infos findet ihr im oben verlinkten Artikel.
Alle Nutzer der Delphi-Versionen 4.0, 5.0,6.0 und 7.0 sollten ihre IDE entsprechend prüfen.
_________________ Blog: kevin-fleischer.de und fbaingermany.com
Registriert: Do Sep 02, 2004 19:42 Beiträge: 4158
Programmiersprache: FreePascal, C++
Der WormHoleSurfer scheint ja auch infiziert zu sein, lt. Schläfer.
Was genau tut dieser Virus eigentlich? ClamAV konnte ihn bei mir zwar nicht im WormHoleSurfer finden, aber das muss ja nichts heißen (Definitionen sind ne weile nicht aktualisiert worden).
greetings
_________________ If you find any deadlinks, please send me a notification – Wenn du tote Links findest, sende mir eine Benachrichtigung. current projects: ManiacLab; aioxmpp zombofant network • my photostream „Writing code is like writing poetry“ - source unknown
„Give a man a fish, and you feed him for a day. Teach a man to fish and you feed him for a lifetime. “ ~ A Chinese Proverb
Registriert: Do Jul 23, 2009 04:33 Beiträge: 157
Programmiersprache: Turbo Delphi Pro
Aha WormholeSurfer also ^^ mich hat das Teil nämlich auch befallen. Aber lässt sich ja leicht entfernen und macht bisher auch nix.
@LordHorazon es befällt wohl nur Delphi Versionen <= 7. Alle erstellten Programme infizieren dann wiederum Delphis auf den Zielrechner. Der Virus selbst macht aber nichts ausser sich zu verbreiten und in ungünstigen Fällen Exceptions zu verursachen.
Um ihn zu finden musst du nach der Datei SysConst.bak suchen, gibt es diese bei dir dann hast du den Virus. Er infiziert die SysConst.dcu und legt ein Backup als SysConst.bak an (netter weise ^^). Also musst du nur die SysConst.dcu löschen und die SysConst.bak umbenennen. Ausserdem haben in anderen Foren Leute geschrieben dass man sich vor zukünftigen Atacken schützen kann wenn man eine SysConst.bak lässt weil dann der Virus Delphi nicht erneut befällt... aber ka ob das stimmt.
_________________ Bringe einen Menschen zum grübeln, dann kannst du heimlich seinen Reis essen. (Koreanisches Sprichwort)
Registriert: Do Sep 02, 2004 19:42 Beiträge: 4158
Programmiersprache: FreePascal, C++
Ah okay. Also nichts, was wirklich Daten gefährdet.
greetings
_________________ If you find any deadlinks, please send me a notification – Wenn du tote Links findest, sende mir eine Benachrichtigung. current projects: ManiacLab; aioxmpp zombofant network • my photostream „Writing code is like writing poetry“ - source unknown
„Give a man a fish, and you feed him for a day. Teach a man to fish and you feed him for a lifetime. “ ~ A Chinese Proverb
Registriert: Di Mai 18, 2004 16:45 Beiträge: 2621 Wohnort: Berlin
Programmiersprache: Go, C/C++
Ist euch eigentlich klar was das für die Industrie bedeutet ?
Sollte rein zufällig doch ein bischen mehr code drin sein, um z.B. aktuelle IP und offenen Ports, E-Mail Adresse des Lokalen User, Passwörter oder ähnliches zuürck geben, kann man dann Anschliessend sich von den Sourcecode der Firmen und Hobbyprogrammierer bedienen. Für ein Delphi Programmierer doch gerade das,was ihn interessiert.
Ich würde meine nächsten tage damit verbringen das Teil in ner VM zu debuggen um das Ausmaß des Teils zu finden und ein Antivieren Software zu überlisten haben die Leute schon vor wenigen Jahren gelöst. Dazu braucht man nur nicht die gleiche Programmsignatur haben, sprich Variablen mit Zufallswerten dazwischen packen, Programmblöcke verschieben und solche sehr einfachen Späße. Ich hatte mal vor vielen Jahren einen Delphi geschriebenen Tool in die Finger bekommen, welches solche Trojaner generiert hat und beim nächsten Hop auf ein anderes System hat sich der Code einfach geändert und damit unsichtbar für jegliche Antivierensoftware. Mit freepascal und Linux würde sowas nicht gehen, da die FPC libs als nur lesbar verfügbar sind und wer root zum compilieren und ausführen nutzt hat es auch verdient. Microsoft ist auf dem guten weg dahin(seit Windows Server 2008 und Windows7) aber die Softwareindustrie nicht ^^ darum wird man auch sowas noch lange unter Windows nutzen können.
Ich hoffe nur mal für die Betroffenden, dass es keine größeren Kreise ziehen wird.
_________________ "Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren" Benjamin Franklin
Registriert: Do Jul 23, 2009 04:33 Beiträge: 157
Programmiersprache: Turbo Delphi Pro
@TAK das eigentlich schlimme ist nicht dieser Virus, sondern dass offenbar der original Delphi-Code im Netz herumschwirrt. Mit etwas Pech haben wir also in kürze einen haufen netter (und vor allem weniger netter) Würmlinge.
_________________ Bringe einen Menschen zum grübeln, dann kannst du heimlich seinen Reis essen. (Koreanisches Sprichwort)
Aber die Idee ist, trotz alledem, einfach genial. Der Virus scheint ja nur ein "Prof of Concept" zu sein, aber damit könnte man RICHTIG scheiße bauen. Weil Programme sehr willkürlich befallen werden. Der Virus hat es ja auch auf Heft-CDs und so weiter geschafft.
_________________ Denn wer nur schweigt, weil er Konflikte scheut, der macht Sachen, die er hinterher bereut. Und das ist verkehrt, denn es ist nicht so schwer, jeden Tag zu tun als ob's der letzte wär’. Und du schaust mich an und fragst ob ich das kann. Und ich denk, ich werd' mich ändern irgendwann. _________________Farin Urlaub - Bewegungslos
Registriert: Do Dez 05, 2002 10:35 Beiträge: 4234 Wohnort: Dortmund
Tilman hat geschrieben:
@TAK das eigentlich schlimme ist nicht dieser Virus, sondern dass offenbar der original Delphi-Code im Netz herumschwirrt. Mit etwas Pech haben wir also in kürze einen haufen netter (und vor allem weniger netter) Würmlinge.
Der schwirrt nicht nur im Netz rum. Der wird von Hause aus mit ausgeliefert. Alle Professional Versionen aufwärts haben den Quellcode der Systemunits und der VCL mit dabei. Was als Entwickler im übrigen wirklich äußerst praktisch ist.
Aber um Delphi mit fremden Code zu infizieren sollte es sogar schon ausreichen, wenn man lediglich die DCU austauscht. Und bei einer lächerlichen Größe von 8 KB kann man die sicher irgendwo mit verstecken oder auch noch packen. Allerdings müssen die DCUs auch mit der selben Version kompiliert worden sein. Was beim Sourcecode schlicht einfacher ist, da Delphi es selber übersetzt. Sprachen wie C++ arbeiten aber ähnlich. Es werden dort auch binäre Zwischendateien erstellt die vom Linker dann in eine Exe gegossen werden.
Ich denke allerdings auch, dass es sich dabei nur um einen Test handelt in wie weit man mit solch einer Methode eine passende Verbreitung erreicht. In sofern war der Test sicher sehr erfolgreich. Denn er hat es auf CDs und ins Forum geschafft. Und zu mindest hier träfe er auf ein entsprechendes Publikum. Also Delphi-Entwickler. Viel interessanter wäre da eigentlich wie lange er schon unterwegs ist.
Googles Translation of what Lord Horazont hat geschrieben:
The WormHoleSurfer seems too infected to be, according to patrons. What exactly does this virus actually? ClamAV him I could not find in WormHoleSurfer, but that must mean nothing (definitions are not now not been updated).
If you want to check files properly then id recommend http://virus.jotti.org . It is an online virus checking service which checks using 21 AV products.
If you want to be sure your system is clean, use an Virus-Scanning-LiveCD like Knoppicillin. Since there are virtual machine rootkits out there, you can't trust your operating system...
Registriert: Di Jul 01, 2003 18:59 Beiträge: 887 Wohnort: (The Netherlands)
Programmiersprache: fpc/delphi/java/c#
Do virusscanners already recognize the infected dcu?
What can we do te prevent this in the future? E.g. run delphi inside a virtual pc in read only mode? After a reboot the vmware resets to its orignal state. Or am i overreacting?
Registriert: Di Apr 29, 2008 18:56 Beiträge: 1213
Programmiersprache: Delphi/FPC
Hey,
ich möcht mich hier auch nochma bei allen entschuldigen, die ich durch mein WormHoleSurfer infiziert hab. Ich hab den Virus entfernt und alle Exen, die im mit Delphi erstellt hab gelöscht. Damit sollte ja sicher gestellt sein, das der Virus weg ist...
Naja, du hast die SysConst.dcu ja sicherlich schon durch die SysConst.bak ersetzt, wenn du die bak behällst, kannst du ja angeblich nicht neuinfiziert werden. Wobei mir das echt wie Läuse vorkommt. Wenn du eine vergisst... BAM! Hoffen wir mal, es gibt keine Nissen ^^
Ansonsten kannst du ja nichts dafür, brauchst dich also imho auch nicht entschuldigen.
_________________ Denn wer nur schweigt, weil er Konflikte scheut, der macht Sachen, die er hinterher bereut. Und das ist verkehrt, denn es ist nicht so schwer, jeden Tag zu tun als ob's der letzte wär’. Und du schaust mich an und fragst ob ich das kann. Und ich denk, ich werd' mich ändern irgendwann. _________________Farin Urlaub - Bewegungslos
Mitglieder in diesem Forum: 0 Mitglieder und 39 Gäste
Du darfst keine neuen Themen in diesem Forum erstellen. Du darfst keine Antworten zu Themen in diesem Forum erstellen. Du darfst deine Beiträge in diesem Forum nicht ändern. Du darfst deine Beiträge in diesem Forum nicht löschen. Du darfst keine Dateianhänge in diesem Forum erstellen.