Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Delphi Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2 3 4 5 6 7 8   вперед  Ctrl      все
 Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
GunSmoker
Member

Откуда:
Сообщений: 3109
К сожалению, это не шутка...

Внимание всем, использующим Delphi c 4 по 7!

автор
В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются.
Распространению вируса способствовало то, что некторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения).
Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland \Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значение ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса.

Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.


Подробности здесь.
13 авг 09, 16:40    [7534869]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
Альт
Member

Откуда: Сибирь
Сообщений: 4581
Хороший топик...
Где продаются чемоданы и космические доспехи?

ps: что делать пацанам, которые компилируют ничего не зная о "вирусе" и "\lib"?
13 авг 09, 16:50    [7534947]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
Куликов Алексей
Member

Откуда: Москва
Сообщений: 1574
Вроде ещё не пятница....

А где автор такую траву взял?
13 авг 09, 16:52    [7534972]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
NetObserver
Member

Откуда:
Сообщений: 635
Куликов Алексей
Вроде ещё не пятница....

А где автор такую траву взял?

А может не трава?


Переведено с английского на русский:
gun

1. сущ
...
нарк. шприц; игла

2. гл.
...
нарк. ширяться (делать инъекцию)
13 авг 09, 17:02    [7535059]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
Альт
Member

Откуда: Сибирь
Сообщений: 4581
Куликов Алексей
Вроде ещё не пятница.... А где автор такую траву взял?

Самое поразительное, что он из команды EurekaLog... если блог не врет... они там все в измененном )
13 авг 09, 17:09    [7535109]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
Ramin Hashimzade
Member

Откуда: Азербайджан, Баку
Сообщений: 9980
Блог
прикол ....

----
www.hramin.jino-net.ru
Картинка с другого сайта.
13 авг 09, 17:09    [7535111]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
GunSmoker
Member

Откуда:
Сообщений: 3109
Ну, если это шуткой кажется, вы хотя бы поиск по "Runtime error 3" сделайте, если по ссылкам лень читать ;)
13 авг 09, 17:12    [7535133]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
GunSmoker
Member

Откуда:
Сообщений: 3109
автор
он из команды EurekaLog

В блоге EurekaLog тоже отмечусь, когда проверю, что у Fabio ничего такого нет на машине для сборок.
13 авг 09, 17:14    [7535145]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
debose
Member

Откуда: Maza valsts
Сообщений: 1222
Блог
Какие уж тут шутки.

Просыпайтесь сони, вирус отакуе Delphi IDE. VCL опастносте!

Вот вам ещё линков с подтверждениями:
http://habrahabr.ru/blogs/virus/66937/
в коментах, непристойные признания об обнаруженни вируса на своей машине.

и вот ещё:
http://tdelphi.blogspot.com/2009/08/delphi-delphi.html
13 авг 09, 17:19    [7535184]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
Альт
Member

Откуда: Сибирь
Сообщений: 4581
GunSmoker
автор
он из команды EurekaLog

В блоге EurekaLog тоже отмечусь, когда проверю, что у Fabio ничего такого нет на машине для сборок.

Так вы сейчас проверьте... а то мы под MadExcept и паникуем
Остановите землю... я сойду
13 авг 09, 17:20    [7535196]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
GunSmoker
Member

Откуда:
Сообщений: 3109
[url=]Так вы сейчас проверьте...[/url]
Fabio сегодня не online.
Но в англоязычном интернете ссылок на эту пакость немного. Вот, к примеру от апреля этого года: http://forum.cheatengine.org/viewtopic.php?t=416093&sid=d687c80980b69695658c403c0a65cbc5
13 авг 09, 17:24    [7535222]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
Альт
Member

Откуда: Сибирь
Сообщений: 4581
GunSmoker, а что вы все ставите? EurekaLog? )
13 авг 09, 17:28    [7535255]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
GunSmoker
Member

Откуда:
Сообщений: 3109
Давайте вы как-нибудь шутки в другом месте шутить будете. Я вообще-то помочь хочу.

Топик на хабре Sega-Zero и создавал, где и признал заражение этой штукой QIP. Помимо QIPа отметились AIMP, некоторые дельфёвые плагины Миранды, некий Infinity Box (хз, кто такой), плюс толпы народа на основных русскоязычных форумах: DelphiKingdom (спасибо человеку с ником Andrey, а то могли бы не заметить), programmersforum.ru (судя по репликам тут самый большой процент пострадавших), forum.sources.ru, ВинГрад.
Вот топик на форуме Infinity Box.
13 авг 09, 17:44    [7535391]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
Альт
Member

Откуда: Сибирь
Сообщений: 4581
GunSmoker
Давайте вы как-нибудь шутки в другом месте шутить будете. Я вообще-то помочь хочу.
Чем? Я тоже. А вдруг ваш главный мозг уже в космосе? и делает вот так (очень "веселая" флеш игрушка, название не помню) ps: смысл перепостов на куче ресурсов есть? давайте сведем все к проблемам с EurekaLog... это самое правильное решение
Модератор: Вложение удалено.
13 авг 09, 18:00    [7535507]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
debose
Member

Откуда: Maza valsts
Сообщений: 1222
Блог
Альт
GunSmoker
Давайте вы как-нибудь шутки в другом месте шутить будете. Я вообще-то помочь хочу.

Чем? Я тоже. А вдруг ваш главный мозг уже в космосе? и делает вот так (очень "веселая" флеш игрушка, название не помню)

ps: смысл перепостов на куче ресурсов есть? давайте сведем все к проблемам с EurekaLog... это самое правильное решение


Альт, поверь на слово, EurekaLog тут вообще не причём (по крайней мере пока).

1й известный источник распространения - это одна из версий Qip. Но есть и другие. Запускали у себя чужие Delphi программы? Теперь проверяйтесь.

п.с. Я обнаружил этот "вирус" на 2-х машинах из 4-х, источник появления заразы уже неизвестен.
13 авг 09, 18:05    [7535553]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
Альт
Member

Откуда: Сибирь
Сообщений: 4581
Не пользуюсь qip, т.к. уже давно ам
Программы на дельфи запускаю каждый день (не пользуюсь EurеkaLog... так как уже давно ам)
Мучаюсь в поиске проблем
13 авг 09, 18:16    [7535629]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62926
Но паника с утра идет.

--
http://www.podgoretsky.com
13 авг 09, 18:53    [7535763]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
Альт
Member

Откуда: Сибирь
Сообщений: 4581
Anatoly Podgoretsky
Но паника с утра идет.

Проблема в EurekaLog
13 авг 09, 19:13    [7535813]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
Док
Member

Откуда: Казань
Сообщений: 6164
GunSmoker,

чего-то я не пойму. Вот, что выдал ТС
+
Картинка с другого сайта.

файлы из папок \Source\Rtl\Sys\ и \Lib\ разные по содержанию.
файлы \Lib\sysconst.bak и \Source\Rtl\Sys\SysConst.dcu практически полностью идентичны

Если сравнить *.dcu и *.bak из папки Delphi7\Lib\ в редакторе, то в dcu-шке в начале дописано:
+
Картинка с другого сайта.

Это оно? Можно бежать править?

зы. пока преславутой ошибки не вылезало ;) Qip когда-то стоял, но давно снес.
13 авг 09, 19:37    [7535867]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
debose
Member

Откуда: Maza valsts
Сообщений: 1222
Блог
Док, сложно сказать.
Открой файл sysconst.dcu в просмотрщике (в виде текста) и поищи там что-нибудь из исходника вируса, например строку "closefile(f2);". Если таковая найдётся, значит это он, если не найдётся, значит какой-то другой. :D
13 авг 09, 22:46    [7536254]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
Док
Member

Откуда: Казань
Сообщений: 6164
debose,

вот еще такой факт. На домашней машине bak-файл в папке \lib отсутствует, но зато содержимое "домашнего" dcu (по памяти) идентичен bak-файлу на работе.

И еще, на работе я когда-то ставил Eurеca Log, затем снес (поклонник MadExcept:), а дома я только-только винду и дельфи перевесил, и, естественно, ничего лишнего попробовать не успел. Выводы делайте сами :)

зы. никогда не видел ошибки "runtime error 3" ;)
14 авг 09, 00:32    [7536581]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
Asm64D
Member

Откуда: [Краснодар] http://cluboflosers13.livejournal.com/
Сообщений: 6477
GunSmoker

Выложи или тестируемую QIP с дефектом или укажи точную версию, ибо твой эксперемент у меня не повторился.
14 авг 09, 00:46    [7536596]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
debose
Member

Откуда: Maza valsts
Сообщений: 1222
Блог
Asm64D
GunSmoker

Выложи или тестируемую QIP с дефектом или укажи точную версию, ибо твой эксперемент у меня не повторился.

Amd64D, примите пожалуйста к сведению, что это не эксперимент. Это реальная ситуация и повторять тут нечего. Нет файла sysconst.dcu с телом вируса - значит всё в порядке. Есть файл - лечите и делайте выводы. Что тут ещё экспериментировать?
14 авг 09, 01:38    [7536674]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
debose
Member

Откуда: Maza valsts
Сообщений: 1222
Блог
Док
debose,

вот еще такой факт. На домашней машине bak-файл в папке \lib отсутствует, но зато содержимое "домашнего" dcu (по памяти) идентичен bak-файлу на работе.

И еще, на работе я когда-то ставил Eurеca Log, затем снес (поклонник MadExcept:), а дома я только-только винду и дельфи перевесил, и, естественно, ничего лишнего попробовать не успел. Выводы делайте сами :)

зы. никогда не видел ошибки "runtime error 3" ;)


Док, я тоже не видел ошибки "runtime error 3". Но вирус у себя обнаружил. К слову, EurekaLog никогда не ставил.
14 авг 09, 01:43    [7536684]     Ответить | Цитировать Сообщить модератору
 Re: Delphi-“вирус”: проверьте свою установленную Delphi!  [new]
Альт
Member

Откуда: Сибирь
Сообщений: 4581
Что мы имеем в сухом остатке... два человека:
debose - tdelphi.blogspot.com
GunSmoker - gunsmoker.blogspot.com
Взаимные френды по blogspot.com, активно комментирующие друг друга и "имеющие определенные проблемы"(с) + debose явно что-то недоговаривает про EurekaLog )))
Господа, а почему бы вам для начала не найти суть проблемы у себя? Прежде... чем поднимать эту "бурю" бреда. Погоней за дешевой популярностью тут тянет за версту.
14 авг 09, 06:28    [7536841]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2 3 4 5 6 7 8   вперед  Ctrl      все
Все форумы / Delphi Ответить