Впервые обнаружен: 15 August 2009, 09:39 MSK
[Kaspersky Lab.]

Virus.Win32.Induc.a заражает Delphi-приложения на этапе разработки

уровень опасности: нулевая. В данной версии он только распространяется, боевая нагрузка модуля отсутвтвует

уровень распространения: максимально высокий - ты это читаешь? - ты тоже заражен! :D
[по данным http://www.sophos.com/]

"Лаборатория Касперского" сообщила о появлении вируса Virus.Win32.Induc.a, распространяющегося через интегрированную среду разработки программного обеспечения CodeGear Delphi. Защита от новейшей угрозы уже реализована во всех продуктах "Лаборатории Касперского".
(коммент.1: заражается любая дельфа, начиная с четверки. E.Neo)
(коммент.2: статья - ПиАр каспера. Моя бесплатная авира, например, его тоже очень даже хорошо детектит и делит. E.Neo)

Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.

Новый вирус активизируется при запуске зараженного им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0.
(коммент.: более новые версии тоже заражает, вполть до КодГиар'09, хз кто изначально писал этот текст. E.Neo)
В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.

Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется.

В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, скорее он предназначен для демонстрации и тестирования нового вектора заражений. Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире. Вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности.


--------------------------------------------
от меня:
это был копипаст текста, распространенного в сети сейчас на каждом втором сайте, потому копирайты не указываю.
По факту - заражены этим зверем практически все виндузятники, кто хотя бы отдаленно имеет дело с софтом, написанным на делфи.
Ну а вобще, понимая, с какой легкостью автор этого чуда сможет его переделать так, чтобы оно снова перестало палиться.... :o
в общем эпилог - виндоуз это печально :'(

ПиЭс.
кто не понял, это не просто очередная тупая новость. Это - реальный зверь, который сидит у 90% из вас, сейчас, на машинах:D в составе любых "самописных" прог, написанных на дельфи.

я увидел этот вирь у саинта на реггере, но уже вылечил

вирус канеш гениальный, ибо такого изврата я ищо не встречал...

удаление вируса, элементарное
качаем по ссылке неинфированные файлы
download (http://heroeswm.net/wp-files/SysConst.rar)
Копируем в %Delphi%\Lib\ файл Sysconst.pas, из архива, попутно удаляяя sysconst.dcu, sysconst.bak

Раньше слышал была модификация этого вируса, который вызывал run-time 3 error, при запуске

P.S: инфицировать можно любой(!!!) модуль Delphi, и следующим целевым юнитом станет вероятно sysutils.pas, т.к он входит во все GUI, Console applicatiom

Так... Это даже намного серьезнее чем авторан

flacs, вирус действительно гениальный.
и заметь, он спалился только сейчас, когда официально признают, что степень его распрострарения - на момент обнаружения - общемировая.
Если бы автор добавил туда боевую нагрузку, он бы мог выполнить любой интересующий его код на десятках миллионв машин... :'(

пошел ставить его у тебя на ноуте и курить сурсы

HTL - у вируса есть только 1 критерий - его эффективность. А "авторан"... даже через авторан в All Users захайденный екзешник ты тока через пол-года увидишь:D
понты любой может гнать, а вот когда тебе его реально закинут - фиг ты его заметишь, если антивирь промолчит. А он промолчит^^

я кодирую на Delphi более 5 лет, и я естественно обнаружил и у себя этот изврат, я в бешенстве если честно (обнаружил сегодня утром, исправил)

забавно ... но как он проникает я так и не понял .

забавно ... но как он проникает я так и не понял .

Через программы сделанные на Delphi 4-7

А то что почти 90% заражённых заразились через QIP история умолчит....

А то что почти 90% заражённых заразились через QIP история умолчит....
Новость об этом уже была. Причем давненько.

Помимо QIP также встречались зараженные версии Мiranda, AIMP, AlaVYC.

у меня всё чисто :(

у меня всё чисто :(
:lol:

нет, у тебя просто устаревшие антивирусные базы... :(

подскажите как зараженный файл можно восстановить

да заново закачай прогу и все, чо там востанавливать.

Помимо QIP также встречались зараженные версии Мiranda
Забавно, при том, что сама миранда написана на цпп %)

Охринеть просто. Сейчас проверил пару прог недавно скачанных(например http://forum.antichat.ru/thread121052-mailwork.html), все поголовно заражены. Ужас какой...

Уже обновляю антивирь :(

15 Августа и уже
уровень распространения: максимально высокий

жесть )

блог человека, первым обнаружившего вирус:
http://gunsmoker.blogspot.com/2009/08/delphi-delphi.html

в блоге так же выложены сурсы самого вируса.
И, хоть сам по себе он и 100% безвреден, но реализация более, чем любопытная.
Это просто элементарно..... и в то же время насктолько эффективно!
Если бы не досаднейшая маленькая ошибка в коде вируса, он бы смог бы оставаться не обнаруженным еще очень и очень долго... (и, между прочим, доподлинно неизвестно, сколько именно времени этот вирус гулял по сети до того момента, как его - совершенно случайно - обнаружили. И то, всего лишь из-за неверного выбора служебного символа автором:( )

апдейт:
http://forum.cheatengine.org/viewtopic.php?t=416093&sid=75cffc2151969f3e247e6a2f6a031d4b
впервые этот вирус был обнаружен еще 21 апреля '09.
но тогда этому никто не придал значения.

Ссылка на защиту (https://forum.antichat.ru/thread136277.html)

охуеть ((
flacs +1

Я абсолютно, на 100% согласен со всеми вами, что вирус действительно гениальный. Реализация автора довольно таки необычная. Интересно представить, что было бы, если данный вирус обладал бы чуть большим функционалом. Скажем... Имел бы функции бота, или просто делал бы через некоторое время Crash System.

Нет, но все таки... Инфицированная прога не палится антивирусом. Палится только процесс компиляции. Как тогда проверить, зараженная программа или нет попала на компьютер? Новая, переделанная версия, даже от других авторов может принести очень фатальные последствия.

самый простой способ обнаружить вирь - это его мегосигнатура в прогах.
Если прога не сжата и не криптована то там будет видел кусок исходного кода.
Покрайней мере первые версии не шифруются.
Достаточно глянуть чтобы внутри файла небыло строк типа
uses windows или Software\Borland\Delphi или \bin\dcc32.exe
хотя когда пойдет новая версия вирей, что скорее всего будет в ближайшее время, то наверное начнут шифровать строковые данные

P.S. Только что в голову пришел еще один очень хороший метод защиты.
А именно удалить файл dcc32.exe или переименовать.
Всё дело в том что вирь заражает SysConst и компилит его через консольную версию.
При этом консольная версия и GUI версия(Delphi32.exe) между собой не связаны.
Так что отсутствие dcc32.exe вообще не повлияет на работу т.к. сейчас никто почти не компилит под консолью.
Разве что может быть фишка связанная с установкой компонентов, которые юзают этот фай. Ну для этого можно просто временно переименовывать его, а когда нужно поставить компонент какойто мощный (те которые идет в виде exe файлов а не DPK) то просто обратно вернуть имя нужно будет.

Dr.Web только что спалил этот вирус в автозапуске для игры :(

хрень а не вирус, НОД с нормальными базами глушит эту дрянь. Чуть не подцепил его скачав ГТА 4 там модификация Induc.J была.

ну вот, чувак придумавший это испробовал способ заражения, теперь когда он узнает минусы его виря и минусы распрастронения, по которым вирь спалился, он с легкостью добавит функционал....имхо скоро будет новый ботнет

ну вот, чувак придумавший это испробовал способ заражения, теперь когда он узнает минусы его виря и минусы распрастронения, по которым вирь спалился, он с легкостью добавит функционал....имхо скоро будет новый ботнет
Если успеет до того как его прихлопнут наручниками )

Ловил такой в одном чистильщеке реестра ))) удалил винду по новой выставил

Как истинный делфист с ох**тельным стажем имею сказать:

1. ТС, заметка немного преувеличена, насколько мне кажется. Только что полностью проанализировал свою делфю и недавно откомпилированные проги - этого добра не обнаружил, хотя юзаю три десятка написанных кем-то на делфях программ, давно бы подцепил.

2. Аффтар действительно гений, если не учитывать что еще и телепат, сц*ко :-D
Как у истинного делфиста-патриота, у меня давно была идея заражать исходники сишных программ (дабы люди переходили на Делфи ибо Делфи-рулит), но давно было с пол года или год назад и после хорошего количества пива и так т осталось в todo.

3. Квип - вполне реально, только вопрос как он к ним попал...

В натуре, я думал, что у меня каспер начал ругаться на мои проги и проекты. Думал, что в базы добавили сигнатуры, которые я в фейках использовал :))
Все понял, буду лечить

мдееее....

и у меня эта зараза есть...

О_о
у меня пишет что дополнения к AIMP заражено этим вирусом

Оперативно вирус работает

А прикиньте, если спец службы такую дрянь распространят?

И между прочим уже наверняка они так и сделали.

З.Ы.

Скоро вместо Internet, будет один большой BotNet.
У меня кстати не было на машине этой дряни, т.к. не использую QIP и большинство прог у меня на C#.

Да я тоже обрадывался когда месяц пользуюсь qip аменя каспер написал , что обнаружен вирус.
Ну что сказать, не только я ламер.
Интересно а как нашли его,так долго не могли найти и вдруг нашли....