Delphi-“вирус” проверьте свою установленную Delphi!

[Serge_Bliznykov]

прежде всего.
К сожалению, это не шутка...

Внимание всем, использующим Delphi c 4 по 7 !

Специфичный Delphi-вирус
В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland \Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значение ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса.

Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.

подробности здесь


p.s. просьба к модераторам: или прикрепите эту тему, или создайте свою аналогичную и прикрепите её.

[Utkin]

А если у меня нету Асек? Че, тоже лечится? Как он распространяется?

[Stilet]

Ну нифинта себе...
Вот уж не знал что подмышкой водится... И ведь зараза работала, и не сбоила.

А интересно если дата создания 2001 год (это Д6 как раз 2001 года) как QIP 2005 мог на это повлиять не меняя даты?
Отсюда напрашивается вывод - в моем дистрибе об этом вире знали и потому сделали bak на этот файл во избежание его заражения, так что ли? (эх... Тупанл я .нужно было не удалять старый dcu//)

[vovk]

плин я у себя нашол.. но я вроде давно никому экзешников не давал... ну по крайней мере тем, кто с Дельфи работает давно не давал.. а исходники не заражает слава богу.

[Utkin]

А я чистый . Вот к чему приводят беспорядочные интернет-связи.

[DeKot]

Проверил у себя комп - есть следующее :
C:\ProgramFiles\Borland\Delphi7\Lib \ sysconst.bak и рядом есть также SysConst.dcu. Причем именно в таком написании строчными и заглавными буквами. Дата создания обеих файлов одинаковая (2002 г., и это при том , что Дельфи установлена в этом году.
Теперь по поводу копирования

Цитата:

Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать

Я так понимаю файл .bak сначала скопировать в какую либо папку, там уже переименовать в .dcu и перенести обратно в папку Lib, удалив перед этим существующий .dcu. Правильно?

[JTG]

Гыгы, заражать средства разработки - концептуально, автору 5!
Дома делфи 2007, но на работе семёрка и все бинарники, что сюда выкладывал, в ней компилял, ща приеду - проверю

[Serge_Bliznykov]

Цитата:

Сообщение от Utkin

А если у меня нету Асек? Че, тоже лечится? Как он распространяется?

Достаточно Вам запустить ЛЮБУЮ программу (exe-шник) скомпилированный на заражённой Дельфи.
Хотя бы взятый тут, на форуме... Если этот EXEшник найдёт путь к установленной Дельфи, то лезет в папку LIB, если там нет файла sysconst.bak, то он копирует sysconst.dcu -> sysconst.bak и заменяет файл sysconst.dcu на заражённый. всё. теперь любой EXE-шник, скомпилированный на данной Дельфи будет вести себя точно так же...

[uberchel]

Да, длин! В морду надо таким энтузиастам(срака-кодерам) извините за ворожение, да я бы еще и не так бы их назвал мат бы стаял 3-х этажный!
И относительно оригинального файла, модифицированный весит на 7кб больше а код приведенный столько не займет скорей всего ни весь!!!
Так что я ни думаю, что вся задача этого зверофила на то что-б скопировать себя на др делфи и т.д, а он же распространяться по сети(инету) и кто знает что он и куда скачивает или посылает...

[Stilet]

Цитата:

А я чистый

только что посмотрел в pas файле - того виря не обнаружил, значит знали те кто распространял мой дистриб об этом однозначно - за что им решпект и уважуха.