Это вообще мощная штука. Похлеще Фауста Гете. Заражает Delphi - версии с 4й по 7ю, и потом уже все проекты, скомпилированные на этом компе - будут зараженным. Зараза попала в Квип, разработчики это подтвердили.
В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland \Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значение ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса. Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия: 1. Удалите SysConst.dcu 2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.
Подробно два:
Цитата
"Лаборатория Касперского" обнаружила вирус, заражающий Delphi-приложения на этапе разработки 18 авг 2009 ****************************************************************** 1. "Лаборатория Касперского" обнаружила вирус, заражающий Delphi-приложения на этапе разработки 2. Как подписаться на новостные блоки и отписаться от них 3. Правила безопасности ****************************************************************** 1. "Лаборатория Касперского" обнаружила вирус, заражающий Delphi-приложения на этапе разработки "Лаборатория Касперского", ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о появлении вируса Virus.Win32.Induc.a, распространяющегося через интегрированную среду разработки программного обеспечения CodeGear Delphi. Защита от новейшей угрозы уже реализована во всех продуктах "Лаборатории Касперского". Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы. Новый вирус активизируется при запуске заражённого им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu. Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется. В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, скорее он предназначен для демонстрации и тестирования нового вектора заражений. Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире. Вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности. Продукты "Лаборатории Касперского" успешно детектируют Virus.Win32.Induc.a и излечивают от него как откомпилированные в Delphi модули, так и файлы исполняемых в Windows форматов.
О других программах, зараженным им:
Цитата
В топике также сообщили о наличии этой же проблемы у некоторых версий популярного проигрывателя AIMP. Ну, быстрый поиск в интернете показал, что подвержены этой пакости оказались не только QIP и AIMP, но и другие программы. Например, вот тут в комментариях сообщается о заражении некоторых плагинов к Miranda. Понятно, что сами программы тут не причём – просто была заражена Delphi, на которых выполнялась сборка дистрибутивов. Увы, антивирусы такие “высокоуровневые вирусы” не ловят (хорошо бы, кстати, отправить этот код разработчикам какого-нибудь антивируса).
пару дней назад обнаружил мой антивирь сего червячга.заблочил его выполнение в момент запуска квипа.лечение непрокатило.грохнул файл.ч проверил систему-всё чисто.проверил инстал квипа-нашол снова етого червя.грохнул инсталяг-больше ничего ненашол.хоть квип и стоЯл в доверенных,но исполнение сего вредоносного червячга всевно блокируется. новая версия квипа рулит.пасморим что дальше будет..кстати,первоначально после скачивания инстала всегда проверяю на виРусы.ничего непоказало.значит вирус начинает работать только после инстала и коннекта с инетом.докачивает компоненты?в систем волум информэйшн также нашолся червячог,может взаимосвязаны они как-то?надо ставить более жосткую блокировКу всех приложений и скрипты запретить.может и повезёт ХD
Цитата(Grin @ Aug 19 2009, 20:14)
на кипюру лежит билд 8095 - что мешает его скачать?
+1.катит
з.ы.а не происки ли это конкурентов?ничего не хочу сказать,но владельцы асек не жалуюца?и прочих...
Сообщение отредактировал First_Angel - Aug 19 2009, 19:30
пару дней назад обнаружил мой антивирь сего червячга.заблочил его з.ы.а не происки ли это конкурентов?ничего не хочу сказать,но владельцы асек не жалуюца?и прочих...
Да не, если разработчики подтвердили, то их лаборатория болеет. Кто-то там уже по шапке наверняка получил.
аналогично было, после очередного обновления сигнатур NOD32 завопил что в QIP запущенном сидит вирус, самое интересно что build 8094 стоит у меня пару недель уже и NOD все это время молчал.