Ответить Создать тему

QIP заражен Win32/Induc.a , У кого ещё?

андрюха_21_rus
post Aug 19 2009, 17:37 
Отправлено #1


Активный

Сообщений: 22 878



Сижу - и бац! nod засигналил! "Пояндексил" - не у меня одного.
Цитата
В основном исполняемом файле программы qip build 8094 детектировано заражение Virus.Win32.Induc.a


Перешёл на свежий билд
Profile CardPM
  0/0  
nth
post Aug 19 2009, 17:42 
Отправлено #2


новичок

Сообщений: 10 484



Это вообще мощная штука. Похлеще Фауста Гете. Заражает Delphi - версии с 4й по 7ю, и потом уже все проекты, скомпилированные на этом компе - будут зараженным. Зараза попала в Квип, разработчики это подтвердили.
Profile CardPM
  0/0  
nth
post Aug 19 2009, 18:20 
Отправлено #3


новичок

Сообщений: 10 484



Подробно раз:
Цитата
В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland \Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значение ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса. Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия: 1. Удалите SysConst.dcu 2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.

Подробно два:
Цитата
"Лаборатория Касперского" обнаружила вирус, заражающий Delphi-приложения на этапе разработки 18 авг 2009 ****************************************************************** 1. "Лаборатория Касперского" обнаружила вирус, заражающий Delphi-приложения на этапе разработки 2. Как подписаться на новостные блоки и отписаться от них 3. Правила безопасности ****************************************************************** 1. "Лаборатория Касперского" обнаружила вирус, заражающий Delphi-приложения на этапе разработки "Лаборатория Касперского", ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о появлении вируса Virus.Win32.Induc.a, распространяющегося через интегрированную среду разработки программного обеспечения CodeGear Delphi. Защита от новейшей угрозы уже реализована во всех продуктах "Лаборатории Касперского". Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы. Новый вирус активизируется при запуске заражённого им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu. Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется. В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, скорее он предназначен для демонстрации и тестирования нового вектора заражений. Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире. Вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности. Продукты "Лаборатории Касперского" успешно детектируют Virus.Win32.Induc.a и излечивают от него как откомпилированные в Delphi модули, так и файлы исполняемых в Windows форматов.


О других программах, зараженным им:
Цитата
В топике также сообщили о наличии этой же проблемы у некоторых версий популярного проигрывателя AIMP. Ну, быстрый поиск в интернете показал, что подвержены этой пакости оказались не только QIP и AIMP, но и другие программы. Например, вот тут в комментариях сообщается о заражении некоторых плагинов к Miranda. Понятно, что сами программы тут не причём – просто была заражена Delphi, на которых выполнялась сборка дистрибутивов. Увы, антивирусы такие “высокоуровневые вирусы” не ловят (хорошо бы, кстати, отправить этот код разработчикам какого-нибудь антивируса).

отсюда



--------------------
Profile CardPM
  0/0  
norman
post Aug 19 2009, 18:40 
Отправлено #4


Активный

Сообщений: 6 204
Из: Спутника



Отправил инсталяк qip8094 в вирлаб Dr.Web. Для проверки.
Profile CardPM
  0/0  
Bengan
post Aug 19 2009, 18:44 
Отправлено #5


Новичок

Сообщений: 3 854
Из: Шупашкар



Жуть. А ведь кип у меня в фаере обрабатывается, как доверенное приложение. Если бы он умел воровать инфу, давно бы всё стащил ohmy.gif

Цитата(norman @ Aug 19 2009, 19:40)
Отправил инсталяк qip8094 в вирлаб Dr.Web. Для проверки.
*

Они, конечно, были не в курсе и очень обрадовались вашему билду.

Сообщение отредактировал Bengan - Aug 19 2009, 18:44

--------------------
«Умение говорить — ещё не признак интеллекта» (К.Джинн)
Profile CardPM
  0/0  
norman
post Aug 19 2009, 18:49 
Отправлено #6


Активный

Сообщений: 6 204
Из: Спутника



Bengan, Перестрахуюсь. Тех.поддержка денег не берет.
Profile CardPM
  0/0  
Юджин
post Aug 19 2009, 18:50 
Отправлено #7


Читатель-писатель

Сообщений: 1 712
Из: братства света



Тоже заразился. Пришлось на инфиум перейти
Profile CardPM
  0/0  
Grin
post Aug 19 2009, 19:14 
Отправлено #8


Активный

Сообщений: 10 451



на кипюру лежит билд 8095 - что мешает его скачать?

--------------------
the best fat for making soap comes from humans
Profile CardPM
  0/0  
First_Angel
post Aug 19 2009, 19:18 
Отправлено #9


Активный

Сообщений: 3 760



пару дней назад обнаружил мой антивирь сего червячга.заблочил его выполнение в момент запуска квипа.лечение непрокатило.грохнул файл.ч проверил систему-всё чисто.проверил инстал квипа-нашол снова етого червя.грохнул инсталяг-больше ничего ненашол.хоть квип и стоЯл в доверенных,но исполнение сего вредоносного червячга всевно блокируется. новая версия квипа рулит.пасморим что дальше будет..кстати,первоначально после скачивания инстала всегда проверяю на виРусы.ничего непоказало.значит вирус начинает работать только после инстала и коннекта с инетом.докачивает компоненты?в систем волум информэйшн также нашолся червячог,может взаимосвязаны они как-то?надо ставить более жосткую блокировКу всех приложений и скрипты запретить.может и повезёт ХD
Цитата(Grin @ Aug 19 2009, 20:14)
на кипюру лежит билд 8095 - что мешает его скачать?
*
+1.катит

з.ы.а не происки ли это конкурентов?ничего не хочу сказать,но владельцы асек не жалуюца?и прочих...

Сообщение отредактировал First_Angel - Aug 19 2009, 19:30
Profile CardPM
  0/0  
андрюха_21_rus
post Aug 19 2009, 19:35 
Отправлено #10


Активный

Сообщений: 22 878



Цитата(First_Angel @ Aug 19 2009, 20:18)
пару дней назад обнаружил мой антивирь сего червячга.заблочил его
з.ы.а не происки ли это конкурентов?ничего не хочу сказать,но владельцы асек не жалуюца?и прочих...
*

Да не, если разработчики подтвердили, то их лаборатория болеет. Кто-то там уже по шапке наверняка получил.
Profile CardPM
  0/0  
bess
post Aug 20 2009, 08:40 
Отправлено #11


Постоялец

Сообщений: 313



поставил новый клиент и усе:)
Profile CardPM
  0/0  
_lis
post Aug 20 2009, 09:03 
Отправлено #12


Активный

Сообщений: 1 444
Из: 56° 7′ 0″ N, 47° 30′ 0″ E



аналогично было, после очередного обновления сигнатур NOD32 завопил что в QIP запущенном сидит вирус, самое интересно что build 8094 стоит у меня пару недель уже и NOD все это время молчал.
Profile CardPM
  0/0  
SPARDS
post Aug 20 2009, 11:04 
Отправлено #13


- cadillac escalade -

Сообщений: 2 524
Из: localhost



у меня qip build 8092 Антивирус ничего не находит, но бывает часто выходит сообщение вида "ваш клиент отправляет слишком часто пакеты"
это нормально rolleyes.gif ?
Profile CardPM
  0/0  
Sanya84
post Aug 24 2009, 11:43 
Отправлено #14


Эксперт

Сообщений: 847
Из: 1



Я паходу тоже поймал зверя, стояла сборка 8092 вдруг список контактов перестал быть виден, статус онлайн, поставил 8095 аналогично...
Profile CardPM
  0/0  

ОтветитьTopic Options
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
Быстрый ответ
Кнопки кодов
 Расширенный режим
 Нормальный режим
    Закрыть все тэги


Открытых тэгов: 
Введите сообщение
Смайлики
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
         
Показать все

Опции сообщения