Перейти к содержимому


Фото
- - - - -

Virus.win32.induc.a


  • Please log in to reply
36 ответов в этой теме

#1 Djinn

Djinn

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 16 Август 2009 - 22:12

Приветствую
Извините, если тема баян

Дано - QIP8094 + DrWeb 5 0 1 06018 + свежие базы
Согласно теме http://forum.kaspersky.com/index.php?showtopic=128418 QIP8094 заражен Virus.Win32.Induc.a
При этом Веб молчит как в мониторе так и в сканере папки с QIP, :)
а каспер 2009+свежие базы детектирует указанный вирус еще на моменте установки QIP8094 :)
Прошу прокомментировать и разъяснить ситуацию

#2 YVS

YVS

    Звездочет

  • Helpers
  • 4 798 Сообщений:

Отправлено 16 Август 2009 - 22:19

Djinn
Отошлите файл в вирлаб, со своими комментариями

#3 Djinn

Djinn

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 16 Август 2009 - 22:37

Djinn
Отошлите файл в вирлаб, со своими комментариями


Спасибо за напоминание Сделано

#4 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 16 Август 2009 - 23:09

Djinn
Отошлите файл в вирлаб, со своими комментариями

Спасибо за напоминание Сделано

Номер тикета?
С уважением,
Борис А. Чертенко aka Borka.

#5 Djinn

Djinn

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 17 Август 2009 - 07:41

Номер тикета?


#974238

#6 Djinn

Djinn

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 17 Август 2009 - 12:25

http://www.virustotal.com/ru/analisis/8ba9...2b81-1250347884
Файл qip.rar получен 2009.08.15 14:51:24 (UTC)

17 Авг 2009 12:52:31
Уважаемый,


Ваш запрос был проанализирован.
Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

Угроза: Win32.Induc

Спасибо за сотрудничество.

--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"


Мдя ... Похоже придется вернуться к прежней схеме - каспер в качестве антивируса и cureit как подстраховка
Заодно вместе с доктором вынести и квип

#7 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 500 Сообщений:

Отправлено 17 Август 2009 - 12:40

Мдя ... Похоже придется вернуться к прежней схеме - каспер в качестве антивируса и cureit как подстраховка
Заодно вместе с доктором вынести и квип


А когда каспер пропустит - куда пойдем? :)

#8 Serrrgio

Serrrgio

    Newbie

  • Posters
  • 38 Сообщений:

Отправлено 17 Август 2009 - 13:05

так, все намного плачевнее

этот вредоносное программное обеспечение изменяет файлы delphi и все проги скомпиленные таким delphi оказываются инфицироваными

может добавим детект сигнатуры вредоносное программное обеспечениеного куска?

у меня оказались инфицированы D5 и D6, и куча прог уже были отправлены по регионам...
на сегодня DrWeb детектит только qip.exe, а проги с вредоносное программное обеспечениеным кодом нет

как узнать какие файлы инфицированы а какие нет????

#9 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 17 Август 2009 - 13:09

так, все намного плачевнее
этот вредоносное программное обеспечение изменяет файлы delphi и все проги скомпиленные таким delphi оказываются инфицироваными
может добавим детект сигнатуры вредоносное программное обеспечениеного куска?

Зашлите файлы, которые не детектируются, в Вирлаб в категорию "Нужно лечение".
С уважением,
Борис А. Чертенко aka Borka.

#10 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 17 Август 2009 - 13:22

так, все намного плачевнее

этот вредоносное программное обеспечение изменяет файлы delphi и все проги скомпиленные таким delphi оказываются инфицироваными

может добавим детект сигнатуры вредоносное программное обеспечениеного куска?

у меня оказались инфицированы D5 и D6, и куча прог уже были отправлены по регионам...
на сегодня DrWeb детектит только qip.exe, а проги с вредоносное программное обеспечениеным кодом нет

как узнать какие файлы инфицированы а какие нет????


Из ПМ...


Вы как грамотный специалист должны сделать в своих программах проверку целостности приложения.....В новых средах разработки это делается одним кликом(идет проверка crc32)...Да и написать процедуру лдля проверки целостности своего кода я думаю не составит труда...
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#11 Serrrgio

Serrrgio

    Newbie

  • Posters
  • 38 Сообщений:

Отправлено 17 Август 2009 - 13:34

вот тут есть вся информация с исходиниками и т.д.

отправил файлы через форму (запрос на лечение), что-то нет ответа с номером тикета

пришел #975051

#12 jk3

jk3

    Member

  • Posters
  • 231 Сообщений:

Отправлено 17 Август 2009 - 14:51

Кому неохота ходить по ссылкам (как мне, например :), но иногда приходится):

В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некоторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значения ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса.

Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.

Зараженным оказался QIP, AIMP и возможно другие программы. Разработчики QIP уже пересобрали сборку 8095 без вируса.

Вообще складывается впечатление, что это просто поделка какого-то студента, а не полноценный вредоносное программное обеспечение.
Код вируса прямо в незакодированном виде присутствует в зараженном dcu-файле :)

#13 Serrrgio

Serrrgio

    Newbie

  • Posters
  • 38 Сообщений:

Отправлено 17 Август 2009 - 14:57

сути дела не меняет

Видимо, просто обкатывалась технология распространения вируса.

qip 8094 помоему вышел месяц назад, или и того больше, после его установки все проги которые были скомпилены на delphi, несли в себе этот код, попутно инфицируя здоровые среды разработки.

прошелся по винту и поискал файлы в которых есть "lib\sysconst", нашел с десяток...

#14 akok

akok

    Member

  • Posters
  • 136 Сообщений:

Отправлено 17 Август 2009 - 20:06

http://habrahabr.ru/blogs/virus/66937/

интересно :)

Microsoft Most Valuable Professional in Consumer Security 2012, 2013, 2014, 2015.
Windows Insider MVP 2016-2020


#15 Alexander Goryachev

Alexander Goryachev

    Космонавт

  • Virus Hunters
  • 1 389 Сообщений:

Отправлено 17 Август 2009 - 21:05

А сканер должен поймать в инсталлере вирус?
Онлайн:
Dc2.exe packed by BINARYRES
>Dc2.exe - archive INNO SETUP
>>Dc2.exe/data001 - Ok
>Dc2.exe - Ok

Бета:
[Проверяемый путь] C:\erer\Dc2.exe
C:\erer\Dc2.exe упакован BINARYRES
>C:\erer\Dc2.exe - архив INNO SETUP
>>C:\erer\Dc2.exe/data001 - OK
>C:\erer\Dc2.exe - OK

Спайдером при установке ловится:
17-08-2009 21:51:07 [CL] (PID = 1196) C:\QIP\is-7BKT6.tmp - Ok
17-08-2009 21:51:07 [CL] (PID = 1196) C:\QIP\is-MQTL6.tmp - инфицирован Win32.Induc
17-08-2009 21:51:14 [CL] (PID = 1196) C:\QIP\is-MQTL6.tmp - доступ к файлу запрещен

http://www.virustotal.com/ru/analisis/4eb0...491a-1250531248

#16 Alexander Goryachev

Alexander Goryachev

    Космонавт

  • Virus Hunters
  • 1 389 Сообщений:

Отправлено 17 Август 2009 - 21:20

И, кстати, при выборе лечения, удаляется весь exe'шник. :) Вирус необратимо портит файлы? :)

#17 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 17 Август 2009 - 21:22

И, кстати, при выборе лечения, удаляется весь exe'шник. :) Вирус необратимо портит файлы? :)


Пока еще не смотрел, но рискну предположить что да.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#18 Alexander Goryachev

Alexander Goryachev

    Космонавт

  • Virus Hunters
  • 1 389 Сообщений:

Отправлено 17 Август 2009 - 21:25

И, кстати, при выборе лечения, удаляется весь exe'шник. :) Вирус необратимо портит файлы? :)


Пока еще не смотрел, но рискну предположить что да.

Тогда в некотором плане засада. :)

#19 sergeyko

sergeyko

    Guru

  • Dr.Web Staff
  • 3 883 Сообщений:

Отправлено 18 Август 2009 - 09:22

И, кстати, при выборе лечения, удаляется весь exe'шник. :) Вирус необратимо портит файлы? :)


Пока еще не смотрел, но рискну предположить что да.

Тогда в некотором плане засада. :)

Выбираемся из засады. Скоро все будет.
Sergey Komarov
R&D www.drweb.com

#20 Serrrgio

Serrrgio

    Newbie

  • Posters
  • 38 Сообщений:

Отправлено 18 Август 2009 - 10:30

ну все, это просто капец, теперь каждый 2 exe с этим СМ
как вобще такое могло произойти???
похуже конфикера будет, очень уж масштабы впечатляют...


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых