Я абсолютно, на 100% согласен со всеми вами, что вирус действительно гениальный. Реализация автора довольно таки необычная. Интересно представить, что было бы, если данный вирус обладал бы чуть большим функционалом. Скажем... Имел бы функции бота, или просто делал бы через некоторое время Crash System.
Нет, но все таки... Инфицированная прога не палится антивирусом. Палится только процесс компиляции. Как тогда проверить, зараженная программа или нет попала на компьютер? Новая, переделанная версия, даже от других авторов может принести очень фатальные последствия.
самый простой способ обнаружить вирь - это его мегосигнатура в прогах. Если прога не сжата и не криптована то там будет видел кусок исходного кода. Покрайней мере первые версии не шифруются. Достаточно глянуть чтобы внутри файла небыло строк типа uses windows или Software\Borland\Delphi или \bin\dcc32.exe хотя когда пойдет новая версия вирей, что скорее всего будет в ближайшее время, то наверное начнут шифровать строковые данные
P.S. Только что в голову пришел еще один очень хороший метод защиты. А именно удалить файл dcc32.exe или переименовать. Всё дело в том что вирь заражает SysConst и компилит его через консольную версию. При этом консольная версия и GUI версия(Delphi32.exe) между собой не связаны. Так что отсутствие dcc32.exe вообще не повлияет на работу т.к. сейчас никто почти не компилит под консолью. Разве что может быть фишка связанная с установкой компонентов, которые юзают этот фай. Ну для этого можно просто временно переименовывать его, а когда нужно поставить компонент какойто мощный (те которые идет в виде exe файлов а не DPK) то просто обратно вернуть имя нужно будет.
хрень а не вирус, НОД с нормальными базами глушит эту дрянь. Чуть не подцепил его скачав ГТА 4 там модификация Induc.J была.
ну вот, чувак придумавший это испробовал способ заражения, теперь когда он узнает минусы его виря и минусы распрастронения, по которым вирь спалился, он с легкостью добавит функционал....имхо скоро будет новый ботнет
Как истинный делфист с ох**тельным стажем имею сказать: 1. ТС, заметка немного преувеличена, насколько мне кажется. Только что полностью проанализировал свою делфю и недавно откомпилированные проги - этого добра не обнаружил, хотя юзаю три десятка написанных кем-то на делфях программ, давно бы подцепил. 2. Аффтар действительно гений, если не учитывать что еще и телепат, сц*ко :-D Как у истинного делфиста-патриота, у меня давно была идея заражать исходники сишных программ (дабы люди переходили на Делфи ибо Делфи-рулит), но давно было с пол года или год назад и после хорошего количества пива и так т осталось в todo. 3. Квип - вполне реально, только вопрос как он к ним попал...
В натуре, я думал, что у меня каспер начал ругаться на мои проги и проекты. Думал, что в базы добавили сигнатуры, которые я в фейках использовал ) Все понял, буду лечить
А прикиньте, если спец службы такую дрянь распространят? И между прочим уже наверняка они так и сделали. З.Ы. Скоро вместо Internet, будет один большой BotNet. У меня кстати не было на машине этой дряни, т.к. не использую QIP и большинство прог у меня на C#.
Да я тоже обрадывался когда месяц пользуюсь qip аменя каспер написал , что обнаружен вирус. Ну что сказать, не только я ламер. Интересно а как нашли его,так долго не могли найти и вдруг нашли....
