 |
 |
 |
 |
 |
|
Registriert seit: 11. Okt 2003 Ort: Elbflorenz 44.342 Beiträge Delphi 12 Athens |
#11
Re: Virus infects Delphi
20. Aug 2009, 16:42
arbeitet quasi fast wie der Virus
Delphi-Quellcode:
Wenn der Virus jetzt kommt, sich die SysConst.pas schnappt
Program Project1;
{$APPTYPE CONSOLE} Uses Windows, SysUtils, Classes; Const Pfade: Array[0..7, 0..2] of String = ( ('Software\Borland\Delphi\4.0', '\Source\RTL\Sys\', '\Lib\'), ('Software\Borland\Delphi\5.0', '\Source\RTL\Sys\', '\Lib\'), ('Software\Borland\Delphi\6.0', '\Source\RTL\Sys\', '\Lib\'), ('Software\Borland\Delphi\7.0', '\Source\RTL\Sys\', '\Lib\'), ('Software\Borland\BDS\2.0', '\Source\Win32\RTL\Sys\', '\Lib\'), ('Software\Borland\BDS\3.0', '\Source\Win32\RTL\Sys\', '\Lib\'), ('Software\Borland\BDS\4.0', '\Source\Win32\RTL\Sys\', '\Lib\'), ('Software\CodeGear\BDS\6.0', '\Source\Win32\RTL\Sys\', '\Lib\')); Var H: HKEY; i, i2: Integer; A: Array[1..255] of Char; S: String; SL: TStringList; Begin Try SL := TStringList.Create;; Try For i := 0 to High(Pfade) do If RegOpenKeyEx(HKEY_LOCAL_MACHINE, PChar(Pfade[i][0]), 0, KEY_READ, H) = 0 Then Begin i2 := 255; If RegQueryValueEx(H, 'RootDir', nil, nil, @A, @i2) = 0 Then Begin S := PChar(@A); If not FileExists(S + Pfade[i][1] + 'SysConst.bak') Then Begin Try RenameFile(S + Pfade[i][1] + 'SysConst.pas', S + Pfade[i][1] + 'SysConst.bak'); SL.LoadFromFile(S + Pfade[i][1] + 'SysConst.bak'); i2 := SL.IndexOf('interface'); SL.Insert(i2 + 1, 'uses SysConst_Check;'); SL.Insert(i2 + 1, ''); SL.SaveToFile(S + Pfade[i][1] + 'SysConst.pas'); SL.Text := 'Unit SysConst_Check;'#13#10 + ''#13#10 + 'Interface'#13#10 + ''#13#10 + 'Implementation'#13#10 + ' Uses Windows;'#13#10 + ''#13#10 + 'Initialization'#13#10 + ' MessageBox(0, ''Delphi ist von Win32/Induc.* befallen!!!'',' + ' ''Alarm'', MB_OK or MB_ICONEXCLAMATION or MB_TASKMODAL);'#13#10 + ' Halt;'#13#10 + ''#13#10 + 'End.'#13#10; SL.SaveToFile(S + Pfade[i][2] + 'SysConst_Check.pas'); WriteLn('Backup angelegt,'); WriteLn('Datei modifiziert'); WriteLn('und Prüfdatei angelegt'); WriteLn(' > ' + S + Pfade[i][1] + 'SysConst.pas'); WriteLn(' > ' + S + Pfade[i][1] + 'SysConst.bak'); WriteLn(' > ' + S + Pfade[i][2] + 'SysConst_Check.pas'); Except WriteLn('der Schutz konnte nicht angelegt werden (z.B. fehlende)'); WriteLn('(z.B. ungenügend Zugriffsrechte)'); WriteLn(' > ' + S + Pfade[i][1] + 'SysConst.pas'); End; End Else Begin WriteLn('ist schon geschützt (vermutlich)'); WriteLn(' > ' + S + Pfade[i][1] + 'SysConst.pas'); End; WriteLn(''); End; RegCloseKey(H); End; WriteLn('fertig'); ReadLn; Finally SL.Free; End; Except On E:Exception do Begin WriteLn(E.Classname, ': ', E.Message); ReadLn; End; End; End. und neu kompiliert, dann kompiliert er auch diesen Code mit ein und bei Programmstart kommt ein Fenster und das infizierte Programm wird beendet, noch bevor der Virus sich vervielfältigen kann. Solange sich der Virus nicht dran zu schaffen macht, bleibt die SysConst.dcu unverändert und auch dieser Code (siehe [delphi]\Lib\SysConst_Check.pas) ist nicht eingebunden (abbeitet bis Delphi 2009 ... solange Schreibrechte existieren) Aber es ist dennoch besser erst erst garkeine Schreibrechte für die betreffenden Verzeichnisse vergeben zu haben 
Ein Therapeut entspricht 1024 Gigapeut.
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Baum-Darstellung
