Virus infects Delphi

**sirius**

Zitat von Chemiker:

könnt Ihr bitte aufhören auch noch Trittbrettfahrer zu animieren, so einen Blödsinn zu machen!

Die werden bestimmt genau durch diesen Beitrag auf die Idee kommen.

**himitsu**

Zitat von Chemiker:

Besser währe es, wenn wir erarbeiten, wie man das Ganze verhindern kann und wie man vorgehen soll, wenn man sich den Virus gefangen hat.

prüfen ob du ihn dir eingefangen hast:
#21 >

http://www.delphipraxis.net/internal...069971#1069971

entfernen:
#33 >

http://www.delphipraxis.net/internal...070123#1070123

und verhindern:
- nicht als ständig Admin arbeiten
- bzw. keine Schreibrechte in OPrdnern, wo sie nicht nötig sind
also in diesem Fall dürfen laufende Programme keine Schreibrechte in %delphi%\Lib\ haben
Da die älteren Delphis aber Daten im Programmverzeichnis speichern, müssen "leider" mindestens die Ordner \Bin und \Projekte freie Schreibreche besitzen

**guinnes**

Zitat von sirius:

guinnes, mit der Zeile und der folgenden testet er nur, ob die Datei bereits existiert. Arbeiten tut der Virus mit den Pascal-herkömmlichen Varianten (assignfile, reset, rewrite).

Das ist richtig, aber was tut dann das :

markieren

Delphi-Quellcode:

			 if h <> DWORD(-1) then

  begin

    CloseHandle(h);

    exit;

  end;

Ungültiges Handle -> mach weiter, sonst mach dich vom Acker

**himitsu**

Zitat von guinnes:

Ungültiges Handle -> mach weiter, sonst mach dich vom Acker

wurde die .bak gefunden, dann schließe das geöffnete Handle und mach nichts weiter

praktisch: "ich bin schon installiert und brauch es nun nicht nochmal zu machen"

**sirius**

Jo, das ist das, was bereits mehrfach beschrieben wurde: Wenn die bak bereits existiert (ergo: Virus ist schon installiert), dann kannst du die Sache abbrechen.

(Aber ich denke, wir wollen den Code jetzt nicht weiter im Detail erörtern

; mit dir aber gerne per PN)

Edit: ging an guinnes

**Chemiker**

Hallo,

Beiträge in den anderen deutschen Delphi – Foren:

Delphi Treff

Entwickler Ecke

Bis bald Chemiker

**jaenicke**

Zitat von himitsu:

Da die älteren Delphis aber Daten im Programmverzeichnis speichern, müssen "leider" mindestens die Ordner \Bin und \Projekte freie Schreibreche besitzen

Das mag für Delphi 6 oder früher gelten, für Delphi 7 definitiv nicht. Das funktionierte bei mir unter Vista bei Tests vollkommen problemlos mit UAC und ohne Rechte zu verändern, wenn man es richtig macht (Arbeitsverzeichnis setzen und einmal als Admin starten)...

http://www.delphi-library.de/viewtopic.php?p=544403
(Wobei ich irgendwelche speziellen Funktionen nicht getestet habe, aber alles "Normale" ging problemlos.)

**Missionar**

Jungs, das ist ja schrecklich! Der Virus scheint wohl ein PoC zu sein, da kann man sich auf einiges gefaßt machen.

Zum Glück hat sich ein Delphi-Virenschreiber (ein fleißiger noch dazu), von den Delphi Viren verabschiedet und sich nun C++ und C# zugewand. Ich fürchte aber bei den Göttern, daß hier wohl bald einige jünger in seinen Fußstapfen treten werden.

Von daher, immer schön aufpaßen und die Sicherheitsmaßnahmen verstärken. Für mich hat es den Vorteil, daß es meine Sinne in diesem Bereich schärft.

Wünsche allezeit frohes und Viren freies programmieren.

**Dezipaitor**

Ich habe meinen Programmen selbst das Recht genommen, eigene Programmdaten zu verändern. D.h. die Sicherheitseiteinstellung der Ordner und Dateien ist so eingestellt, dass kein Benutzer darin Dateien verändern kann.
Bei Delphi7 ist es leider so, dass man da einige Ausnahmen machen muss. Aber zumindest den src und lib Ordner kann man so sichern.
Wichtig dabei ist allerdings, dass man selbst kein Admin ist. Damit ich auch Delphi7 als Admin nutzen kann und das Programm trotzdem nicht ändern kann, hat die Administratorengruppe in den Dateirechten auch nur Lesezugriff. Wenn man dann noch die Dateibesitzer auf z.b. SYSTEM ändert, kann ein Administrator nur mit erhöhtem Aufwand Dateien ändern. Dies wird auch bei Vista und dem Windowsordner angewandt. Natürlich hält das einen informierten Programmierer nicht ab, die Sicherheit zu ändern. Aber nicht jeder hat Ahnung wie das geht.
Es ist natürlich auch möglich dem einen Riegel vorzuschieben, vorrausgesetzt man macht sich die Arbeit, seine Programme mit einem angepassten Administratoraccount zu starten. Besitzt der Admin nämlich nicht das Privileg, der Besitzer eines Objektes werden zu können, ja dann erfordert das Ganze schon erheblich mehr Aufwand.

Letztendlich zeigt es aber doch, dass man nicht als Administrator entwickeln sollte, wenn dies zu vermeiden ist.

**Luckie**

Banking-Trojaner mit Delphi-Virus infiziert

Zitat:

Der Antivirenhersteller Sophos berichtet, dass einige Online-Banking-Trojaner mit dem gestern gemeldeten Delphi-Virus infiziert sind. Das legt die Vermutung nahe, dass sich die Trojaner-Autoren selbst den Schädling eingefangen haben.

Virus infects Delphi

Re: Virus infects Delphi

Re: Virus infects Delphi

Re: Virus infects Delphi

Re: Virus infects Delphi

Re: Virus infects Delphi

Re: Virus infects Delphi

Re: Virus infects Delphi

Re: Virus infects Delphi

Re: Virus infects Delphi

Re: Virus infects Delphi

Forumregeln

sirius Registriert seit: 3. Jan 2007 Ort: Dresden 3.443 Beiträge Delphi 7 Enterprise	#101 Re: Virus infects Delphi 19. Aug 2009, 19:10 Zitat von Chemiker: könnt Ihr bitte aufhören auch noch Trittbrettfahrer zu animieren, so einen Blödsinn zu machen! Die werden bestimmt genau durch diesen Beitrag auf die Idee kommen. Dieser Beitrag ist für Jugendliche unter 18 Jahren nicht geeignet.
	Zitat

Chemiker Registriert seit: 14. Aug 2005 1.859 Beiträge Delphi 11 Alexandria	#106 Re: Virus infects Delphi 19. Aug 2009, 19:57 Hallo, Beiträge in den anderen deutschen Delphi – Foren: Delphi Treff Entwickler Ecke Bis bald Chemiker wer gesund ist hat 1000 wünsche wer krank ist nur einen.
	Zitat