 |
 |
 |
 |
 |
|
Antwort
|
|
(Gast)
n/a Beiträge |
#131
Re: Virus infects Delphi
20. Aug 2009, 16:36
Zitat von mkinzler:
Wäre dann ja auch eine Anregung an CG
|
Zitat
|
|
(Moderator)
Registriert seit: 9. Dez 2005 Ort: Heilbronn 39.858 Beiträge Delphi 11 Alexandria |
#132
Re: Virus infects Delphi
20. Aug 2009, 16:40
Markus Kinzler
|
|
Zitat
|
|
(Gast)
n/a Beiträge |
#133
Re: Virus infects Delphi
20. Aug 2009, 16:46
Zitat von mkinzler:
Da wäre aber ein Ansatz per Prüfsumme besser. Also ein Mechanismus, bei dem man Prüfsummen in eine Datenbank ablegen kann, welche dann abgeglichen werden können.
Wobei auch das in die Hose gehen kann. Denken wir uns doch mal besser nicht daran, was passieren würde, wenn Andreas auf die dunkle Seite der MAcht gezogen würde und seine speziellen Techniken verwendet, um den Schadcode quasi "dynamisch" zu injizieren 
|
|
Zitat
|
Registriert seit: 28. Feb 2007 Ort: Bottrop 265 Beiträge Delphi 5 Enterprise |
#134
Re: Virus infects Delphi
20. Aug 2009, 17:24
Zitat von Monien:
Die Werden zwar nix mehr für D7 oder älter tun, aber der Code dürfte sich ja relativ leicht auch auf neuere DelphiVersionen "upgraden" lassen
Glückauf
|
|
Zitat
|
|
(Gast)
n/a Beiträge |
#135
Re: Virus infects Delphi
20. Aug 2009, 17:27
Zitat von guinnes:
Zitat von Monien:
Die Werden zwar nix mehr für D7 oder älter tun, aber der Code dürfte sich ja relativ leicht auch auf neuere DelphiVersionen "upgraden" lassen
|
|
Zitat
|
|
(Co-Admin)
Registriert seit: 30. Mai 2002 Ort: Hamburg 13.920 Beiträge Delphi 10.4 Sydney |
#136
Re: Virus infects Delphi
20. Aug 2009, 17:33
Daniel R. Wolf
mit Grüßen aus Hamburg |
|
Zitat
|
Registriert seit: 11. Okt 2003 Ort: Elbflorenz 44.063 Beiträge Delphi 12 Athens |
#137
Re: Virus infects Delphi
20. Aug 2009, 17:42
arbeitet quasi fast wie der Virus
Delphi-Quellcode:
Wenn der Virus jetzt kommt, sich die SysConst.pas schnappt
Program Project1;
{$APPTYPE CONSOLE} Uses Windows, SysUtils, Classes; Const Pfade: Array[0..7, 0..2] of String = ( ('Software\Borland\Delphi\4.0', '\Source\RTL\Sys\', '\Lib\'), ('Software\Borland\Delphi\5.0', '\Source\RTL\Sys\', '\Lib\'), ('Software\Borland\Delphi\6.0', '\Source\RTL\Sys\', '\Lib\'), ('Software\Borland\Delphi\7.0', '\Source\RTL\Sys\', '\Lib\'), ('Software\Borland\BDS\2.0', '\Source\Win32\RTL\Sys\', '\Lib\'), ('Software\Borland\BDS\3.0', '\Source\Win32\RTL\Sys\', '\Lib\'), ('Software\Borland\BDS\4.0', '\Source\Win32\RTL\Sys\', '\Lib\'), ('Software\CodeGear\BDS\6.0', '\Source\Win32\RTL\Sys\', '\Lib\')); Var H: HKEY; i, i2: Integer; A: Array[1..255] of Char; S: String; SL: TStringList; Begin Try SL := TStringList.Create;; Try For i := 0 to High(Pfade) do If RegOpenKeyEx(HKEY_LOCAL_MACHINE, PChar(Pfade[i][0]), 0, KEY_READ, H) = 0 Then Begin i2 := 255; If RegQueryValueEx(H, 'RootDir', nil, nil, @A, @i2) = 0 Then Begin S := PChar(@A); If not FileExists(S + Pfade[i][1] + 'SysConst.bak') Then Begin Try RenameFile(S + Pfade[i][1] + 'SysConst.pas', S + Pfade[i][1] + 'SysConst.bak'); SL.LoadFromFile(S + Pfade[i][1] + 'SysConst.bak'); i2 := SL.IndexOf('interface'); SL.Insert(i2 + 1, 'uses SysConst_Check;'); SL.Insert(i2 + 1, ''); SL.SaveToFile(S + Pfade[i][1] + 'SysConst.pas'); SL.Text := 'Unit SysConst_Check;'#13#10 + ''#13#10 + 'Interface'#13#10 + ''#13#10 + 'Implementation'#13#10 + ' Uses Windows;'#13#10 + ''#13#10 + 'Initialization'#13#10 + ' MessageBox(0, ''Delphi ist von Win32/Induc.* befallen!!!'',' + ' ''Alarm'', MB_OK or MB_ICONEXCLAMATION or MB_TASKMODAL);'#13#10 + ' Halt;'#13#10 + ''#13#10 + 'End.'#13#10; SL.SaveToFile(S + Pfade[i][2] + 'SysConst_Check.pas'); WriteLn('Backup angelegt,'); WriteLn('Datei modifiziert'); WriteLn('und Prüfdatei angelegt'); WriteLn(' > ' + S + Pfade[i][1] + 'SysConst.pas'); WriteLn(' > ' + S + Pfade[i][1] + 'SysConst.bak'); WriteLn(' > ' + S + Pfade[i][2] + 'SysConst_Check.pas'); Except WriteLn('der Schutz konnte nicht angelegt werden (z.B. fehlende)'); WriteLn('(z.B. ungenügend Zugriffsrechte)'); WriteLn(' > ' + S + Pfade[i][1] + 'SysConst.pas'); End; End Else Begin WriteLn('ist schon geschützt (vermutlich)'); WriteLn(' > ' + S + Pfade[i][1] + 'SysConst.pas'); End; WriteLn(''); End; RegCloseKey(H); End; WriteLn('fertig'); ReadLn; Finally SL.Free; End; Except On E:Exception do Begin WriteLn(E.Classname, ': ', E.Message); ReadLn; End; End; End. und neu kompiliert, dann kompiliert er auch diesen Code mit ein und bei Programmstart kommt ein Fenster und das infizierte Programm wird beendet, noch bevor der Virus sich vervielfältigen kann. Solange sich der Virus nicht dran zu schaffen macht, bleibt die SysConst.dcu unverändert und auch dieser Code (siehe [delphi]\Lib\SysConst_Check.pas) ist nicht eingebunden (abbeitet bis Delphi 2009 ... solange Schreibrechte existieren) Aber es ist dennoch besser erst erst garkeine Schreibrechte für die betreffenden Verzeichnisse vergeben zu haben 
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat, wird PoSex im Delphi viel seltener praktiziert. |
|
Zitat
|
|
Registriert seit: 28. Feb 2007 Ort: Bottrop 265 Beiträge Delphi 5 Enterprise |
#138
Re: Virus infects Delphi
20. Aug 2009, 17:49
Eine weitere Schwachstelle im Virus ist, dass er das Erstellungsdatum der Quellfiles nicht ändern kann : ( oder nur mit einem Aufwand )
Zitat:
unit sysconst; {Flags: 0x0, Priority: 0x1E}
{Source files: D:\Software\Programme\Borland\Delphi7\lib\sysconst .pas (03.07.2009 15:19:18)}
Glückauf
|
|
Zitat
|
Registriert seit: 9. Sep 2004 Ort: München 604 Beiträge FreePascal / Lazarus |
#139
Re: Virus infects Delphi
20. Aug 2009, 17:51
Zitat von Monien:
Die IDE "wrappt" nur den Aufruf der dcc32.exe
 (verifiziert mit ProcessExplorer: keine dcc32.exe zu sehen)
Sven
[Free Pascal Compiler Entwickler] this post is printed on 100% recycled electrons |
|
Zitat
|
|
(Moderator)
Registriert seit: 9. Dez 2005 Ort: Heilbronn 39.858 Beiträge Delphi 11 Alexandria |
#140
Re: Virus infects Delphi
20. Aug 2009, 18:15
Zitat von JamesTKirk:
Zitat von Monien:
Die IDE "wrappt" nur den Aufruf der dcc32.exe
(verifiziert mit ProcessExplorer: keine dcc32.exe zu sehen)
Markus Kinzler
|
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Linear-Darstellung
