Впервые обнаружен: 15 August 2009, 09:39 MSK [Kaspersky Lab.] Virus.Win32.Induc.a заражает Delphi-приложения на этапе разработки уровень опасности: нулевая. В данной версии он только распространяется, боевая нагрузка модуля отсутвтвует уровень распространения: максимально высокий - ты это читаешь? - ты тоже заражен! [по данным http://www.sophos.com/] "Лаборатория Касперского" сообщила о появлении вируса Virus.Win32.Induc.a, распространяющегося через интегрированную среду разработки программного обеспечения CodeGear Delphi. Защита от новейшей угрозы уже реализована во всех продуктах "Лаборатории Касперского". (коммент.1: заражается любая дельфа, начиная с четверки. E.Neo) (коммент.2: статья - ПиАр каспера. Моя бесплатная авира, например, его тоже очень даже хорошо детектит и делит. E.Neo) Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы. Новый вирус активизируется при запуске зараженного им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. (коммент.: более новые версии тоже заражает, вполть до КодГиар'09, хз кто изначально писал этот текст. E.Neo) В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu. Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется. В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, скорее он предназначен для демонстрации и тестирования нового вектора заражений. Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире. Вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности. -------------------------------------------- от меня: это был копипаст текста, распространенного в сети сейчас на каждом втором сайте, потому копирайты не указываю. По факту - заражены этим зверем практически все виндузятники, кто хотя бы отдаленно имеет дело с софтом, написанным на делфи. Ну а вобще, понимая, с какой легкостью автор этого чуда сможет его переделать так, чтобы оно снова перестало палиться.... в общем эпилог - виндоуз это печально :'(
ПиЭс. кто не понял, это не просто очередная тупая новость. Это - реальный зверь, который сидит у 90% из вас, сейчас, на машинах в составе любых "самописных" прог, написанных на дельфи.
вирус канеш гениальный, ибо такого изврата я ищо не встречал... удаление вируса, элементарное качаем по ссылке неинфированные файлы download Копируем в %Delphi%\Lib\ файл Sysconst.pas, из архива, попутно удаляяя sysconst.dcu, sysconst.bak Раньше слышал была модификация этого вируса, который вызывал run-time 3 error, при запуске P.S: инфицировать можно любой(!!!) модуль Delphi, и следующим целевым юнитом станет вероятно sysutils.pas, т.к он входит во все GUI, Console applicatiom
flacs, вирус действительно гениальный. и заметь, он спалился только сейчас, когда официально признают, что степень его распрострарения - на момент обнаружения - общемировая. Если бы автор добавил туда боевую нагрузку, он бы мог выполнить любой интересующий его код на десятках миллионв машин... :'( пошел ставить его у тебя на ноуте и курить сурсы HTL - у вируса есть только 1 критерий - его эффективность. А "авторан"... даже через авторан в All Users захайденный екзешник ты тока через пол-года увидишь понты любой может гнать, а вот когда тебе его реально закинут - фиг ты его заметишь, если антивирь промолчит. А он промолчит^^
я кодирую на Delphi более 5 лет, и я естественно обнаружил и у себя этот изврат, я в бешенстве если честно (обнаружил сегодня утром, исправил)
Новость об этом уже была. Причем давненько. Помимо QIP также встречались зараженные версии Мiranda, AIMP, AlaVYC.
Охринеть просто. Сейчас проверил пару прог недавно скачанных(например http://forum.antichat.ru/thread121052-mailwork.html), все поголовно заражены. Ужас какой...
блог человека, первым обнаружившего вирус: http://gunsmoker.blogspot.com/2009/08/delphi-delphi.html в блоге так же выложены сурсы самого вируса. И, хоть сам по себе он и 100% безвреден, но реализация более, чем любопытная. Это просто элементарно..... и в то же время насктолько эффективно! Если бы не досаднейшая маленькая ошибка в коде вируса, он бы смог бы оставаться не обнаруженным еще очень и очень долго... (и, между прочим, доподлинно неизвестно, сколько именно времени этот вирус гулял по сети до того момента, как его - совершенно случайно - обнаружили. И то, всего лишь из-за неверного выбора служебного символа автором ) апдейт: http://forum.cheatengine.org/viewtopic.php?t=416093&sid=75cffc2151969f3e247e6a2f6a031d4b впервые этот вирус был обнаружен еще 21 апреля '09. но тогда этому никто не придал значения.
