Online
Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.063 Beiträge
Delphi 12 Athens
|
Re: Virus infects Delphi
20. Aug 2009, 17:42
arbeitet quasi fast wie der Virus
Delphi-Quellcode:
Program Project1;
{$APPTYPE CONSOLE}
Uses Windows, SysUtils, Classes;
Const Pfade: Array[0..7, 0..2] of String = (
(' Software\Borland\Delphi\4.0', ' \Source\RTL\Sys\', ' \Lib\'),
(' Software\Borland\Delphi\5.0', ' \Source\RTL\Sys\', ' \Lib\'),
(' Software\Borland\Delphi\6.0', ' \Source\RTL\Sys\', ' \Lib\'),
(' Software\Borland\Delphi\7.0', ' \Source\RTL\Sys\', ' \Lib\'),
(' Software\Borland\BDS\2.0', ' \Source\Win32\RTL\Sys\', ' \Lib\'),
(' Software\Borland\BDS\3.0', ' \Source\Win32\RTL\Sys\', ' \Lib\'),
(' Software\Borland\BDS\4.0', ' \Source\Win32\RTL\Sys\', ' \Lib\'),
(' Software\CodeGear\BDS\6.0', ' \Source\Win32\RTL\Sys\', ' \Lib\'));
Var H: HKEY;
i, i2: Integer;
A: Array[1..255] of Char;
S: String;
SL: TStringList;
Begin
Try
SL := TStringList.Create;;
Try
For i := 0 to High(Pfade) do
If RegOpenKeyEx(HKEY_LOCAL_MACHINE, PChar(Pfade[i][0]), 0, KEY_READ, H) = 0 Then Begin
i2 := 255;
If RegQueryValueEx(H, ' RootDir', nil, nil, @A, @i2) = 0 Then Begin
S := PChar(@A);
If not FileExists(S + Pfade[i][1] + ' SysConst.bak') Then Begin
Try
RenameFile(S + Pfade[i][1] + ' SysConst.pas', S + Pfade[i][1] + ' SysConst.bak');
SL.LoadFromFile(S + Pfade[i][1] + ' SysConst.bak');
i2 := SL.IndexOf(' interface');
SL.Insert(i2 + 1, ' uses SysConst_Check;');
SL.Insert(i2 + 1, ' ');
SL.SaveToFile(S + Pfade[i][1] + ' SysConst.pas');
SL.Text := ' Unit SysConst_Check;'#13#10
+ ' '#13#10
+ ' Interface'#13#10
+ ' '#13#10
+ ' Implementation'#13#10
+ ' Uses Windows;'#13#10
+ ' '#13#10
+ ' Initialization'#13#10
+ ' MessageBox(0, '' Delphi ist von Win32/Induc.* befallen!!!'' ,'
+ ' '' Alarm'' , MB_OK or MB_ICONEXCLAMATION or MB_TASKMODAL);'#13#10
+ ' Halt;'#13#10
+ ' '#13#10
+ ' End.'#13#10;
SL.SaveToFile(S + Pfade[i][2] + ' SysConst_Check.pas');
WriteLn(' Backup angelegt,');
WriteLn(' Datei modifiziert');
WriteLn(' und Prüfdatei angelegt');
WriteLn(' > ' + S + Pfade[i][1] + ' SysConst.pas');
WriteLn(' > ' + S + Pfade[i][1] + ' SysConst.bak');
WriteLn(' > ' + S + Pfade[i][2] + ' SysConst_Check.pas');
Except
WriteLn(' der Schutz konnte nicht angelegt werden (z.B. fehlende)');
WriteLn(' (z.B. ungenügend Zugriffsrechte)');
WriteLn(' > ' + S + Pfade[i][1] + ' SysConst.pas');
End;
End Else Begin
WriteLn(' ist schon geschützt (vermutlich)');
WriteLn(' > ' + S + Pfade[i][1] + ' SysConst.pas');
End;
WriteLn(' ');
End;
RegCloseKey(H);
End;
WriteLn(' fertig');
ReadLn;
Finally
SL.Free;
End;
Except
On E: Exception do Begin
WriteLn(E.Classname, ' : ', E. Message);
ReadLn;
End;
End;
End.
Wenn der Virus jetzt kommt, sich die SysConst.pas schnappt
und neu kompiliert, dann kompiliert er auch diesen Code mit ein und bei Programmstart
kommt ein Fenster und das infizierte Programm wird beendet, noch bevor der Virus sich vervielfältigen kann.
Solange sich der Virus nicht dran zu schaffen macht, bleibt die SysConst.dcu unverändert
und auch dieser Code (siehe [delphi]\Lib\SysConst_Check.pas) ist nicht eingebunden
(abbeitet bis Delphi 2009 ... solange Schreibrechte existieren)
Aber es ist dennoch besser erst erst garkeine Schreibrechte für die betreffenden Verzeichnisse vergeben zu haben
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.
|