Virus : un malware touche les logiciels développés en Delphi

**kaymak** · 20/08/2009, 19h18

Pourquoi infecter les applications développées uniquement avec Delphi 4->7?

Ptet que ce n'est qu'un pof comme sa à était cité plus haut. Ou ptet qu'il était soulé de le faire multi version son ver.

C'est qd même pas les plus simples à faire les ver multiplateformes. faut des pre load plus complexe, ecrire ta charge adaptée à chaque type de cible, redessiner les méthodes de furtivité ect.
Bref c'est long, et à part pour le plaisir de l'art de dèv,
tout à fait inutile
si ce n'est pas pour un tirer un gain financier.

**chaplin** · 20/08/2009, 19h44

Envoyé par davidkungfu

Je me pose des questions:

Ca tombe particulièrement près de la sortie de Delphi 2010. Est-ce une tentative de déstabilisation par la concurrence de l'outil qui résiste encore à la façon du "petit village gaulois"?

Le térrorisme psychologique est une arme redoutable, j'en sais quelque chose. Printemps 2006, on m'avait dit 5 ans maxi pour Borland, histoire de me dissuader de faire la bascule en 2007. Ma foi si le monde informatique est planifié 5 ans à l'avance, c'est du communisme plus du capitalisme.

Edit:

Pour ceux qui sont motivés, un peu plus de détail en version russe:
http://gunsmoker.blogspot.com/2009/0...hi-delphi.html

Une solution immédiate serait de compiler les projets Delphi sur une machine Vista car le répertoire c:\Program Files ne peut être modifié.

Courrez vite acheter une machine avec Vista !!!

**VLDG** · 20/08/2009, 23h24

Envoyé par davidkungfu

De mon côté je viens de faire une copie de sauvegarde de mon SysConsts.pas, il peut venir le malware, je l'attends!!

A priori, c'est plutôt un fichier SysConst.bak qu'il faut créer

How to stay protected?

You may want to create \Lib\SysConst.bak file (file’s content doesn’t matter) to prevent further infections. This particular virus creates a backup copy of dcu-file before infection and uses it as “infection completed” flag (such a nice guy, eh?). So, if you create SysConst.bak manually - this will prevent virus from messing with dcus, as it will think that his work is done here.

But I afraid that the only 100%-reliable way to be protected is to keep an eye on your Delphi’s folder. Just do periodic compares with backup’s copy. I’m not sure if it is an overkill, but putting it in SVN may be not-so-bad idea. If your anti-virus software has some sort of file-changes-tracking capabilities – then you’d better put \Lib and \Source folder under it’s control.

**Andnotor** · 21/08/2009, 00h07

Je me demande quant même se que donne la compilation d'un .pas contenant ce genre de "caractères" 00 00 00 00 FF FF FF FF 50 00 00 00...

A priori, c'est plutôt un fichier SysConst.bak qu'il faut créer

Difficile de dire à quoi sert ce test sur CreateFile avec ce petit bout de code. Sûr il teste sa (d = SysConst ?) présence, mais...

Dommage qu'on ne nous montre pas comment sont appelées cette fonction et cette procédure (obligatoirement depuis Initialization) et surtout comment est appelé dcc32.

Sous D2009, SysConst existe encore et le compilateur s'appelle toujours dcc32. Je ne vois pas pourquoi ce virus se limiterait à D7... (ou alors les journalistes pensent que D7 était le dernier compilateur Win32 made-in Borland (ou CodeGear, ou etc.))

**smyley** · 21/08/2009, 00h17

Envoyé par Andnotor

Sous D2009, SysConst existe encore et le compilateur s'appelle toujours dcc32. Je ne vois pas pourquoi ce virus se limiterait à D7... (ou alors les journalistes pensent que D7 était le dernier compilateur Win32 made-in Borland (ou CodeGear, ou etc.))

Peut être que le virus en question a la fainéantise de chercher LA ligne du SysConst qu'il veut altérer, ce qui demanderait donc de savoir pour chaque version du SysConst la ligne à altérer pour que ça passe bien ...

**Andnotor** · 21/08/2009, 00h37

Envoyé par smyley

Peut être que le virus en question a la fainéantise de chercher LA ligne du SysConst qu'il veut altérer, ce qui demanderait donc de savoir pour chaque version du SysConst la ligne à altérer pour que ça passe bien ...

Justement non

Si l'unité SysConst à été choisie, c'est bien parce qu'elle ne contient aucun code (et aucun uses), mais que des constantes dans l'interface. L'implementation est totalement vierge et permet donc un copier/coller de n'importe quoi (avant End. bien sûr).

ps: Ajouter un uses Windows; dans l'interface suffirait à planter la compilation

.

**smyley** · 21/08/2009, 00h40

Bah ... personne n'a le virus sous la main pour l'étudier ?

**sfpx** · 21/08/2009, 06h58

Je suis infecté

Maintenant j'aimerais vraiment savoir comment j'ai chopé ce pu* de virus.

Mais plus important je fais quoi pour m'en débarrasser ?

Heureusement j'ai aucune appli récemment compilée en Delphi distribuée chez mes clients (ouf). J'ai testé mes applis distribuées et aucun virus détecté.

Par contre toutes mes récentes compilations semblent infectées.

**sfpx** · 21/08/2009, 07h12

Je pars un scan avec avg, je vais bien voir quelle appli infectée n'a pas été compilée par moi..ce qui m'indiquera le grand responsable. Je suis plutôt curieux car j'ai pas téléchargé bcp d'applis récemment.

**seabs** · 21/08/2009, 08h42

Bonjour,

Hier, en faisant un contrôle de mon ordinateur avec Malwarebytes, il m'a signalé un problème dans la DLL DelZip179. Je l'utilise pour zipper des fichiers dans certaines applications Delphi. Je pense que DelZip179 est écrit avec Delphi ?

Cette dll est présente depuis un certain temps dans mon répertoire System32 et les contrôles faits jusqu'à ce jour n'avaient révélé aucune anomalie.

Sur le moment, je n'ai pas réagi. J'ai supprimer la DLL en me disant, je verrai cela plus tard. C'est ce matin en procédant à la lecture du forum que j'ai fait le rapprochement.

J'ai fait le contrôle des deux applications que je développe actuellement aucune anomalie signalé. Contrôle fait avec NOD32 version 4 et Malwarebytes à jour.

J'ai vérifié le fichier sysconst.pas, il ne me semble pas modifié. Rien dans le code et la date du fichier est du 06/09/2002.

Ma compétence s'arrête ici, mais elle vous permettra peut être de mieux comprendre comment ce virus s'implante.

Au bon courge à vous tous.

Après analyse plus complète, la difficulté rencontrée n'a aucun rapport avec le virus Delphi.

**Droïde Système7** · 21/08/2009, 08h59

Envoyé par sfpx

Je suis infecté

Maintenant j'aimerais vraiment savoir comment j'ai chopé ce pu* de virus.
[...]

Question clé...

@+

**sfpx** · 21/08/2009, 09h14

Scan terminé.
J'ai pas trouvé le coupable.
Tous les fichiers infectés étaient mes compilations.

M'en tout cas..
j'ai effacé le SysConst.dcu
copié le .bak
renommé la copie du .bak en .dcu

Compilé un projet test. Pas de virus.

**sfpx** · 21/08/2009, 09h18

Envoyé par Droïde Système7

Question clé...

@+

Ça va demeurer un mystère car aucun fichier infecté ne venait de l'extérieur.
Probablement une appli que j'ai testée puis effacée.

**Droïde Système7** · 21/08/2009, 09h32

Envoyé par sfpx

Scan terminé.
J'ai pas trouvé le coupable.
Tous les fichiers infectés étaient mes compilations.

M'en tout cas..
j'ai effacé le SysConst.dcu
copié le .bak
renommé la copie du .bak en .dcu

Compilé un projet test. Pas de virus.

Question à cent balles : et le .pas ; si c'est lui qui est touché en "source" ?

Au fait le possèdes-tu ?

@+

**chaplin** · 21/08/2009, 09h40

Pour Delphi 2009, j'ai constaté qu'il n'est plus possible de compiler les fichiers sources des bibliothèques installées avec Delphi. D'autre part pour des soucis de rétrocompatibilité entre Delphi 2006 et Delphi 2007, les dcu sont figés, les class helper ayant été introduit pour étendre le code sans modification des sources, du moins c'est comme cela que je l'ai compris.

Pour les versions Delphi 7 et inférieurs, il faut utiliser un outil de versioning de code ... pour détecter des changements inopinés dans les sources, en particulier les codes sources des bibliothèques natives de Delphi, qui ne devraient en principe jamais être modifiées.

Bref, le mot d'ordre, c'est la prévention en mettant en place des outils de tracabilité qui pointent sur les fichiers sources.

A priori ce lien permet de corriger le problème uniquement sur la version Delphi 7.

**Mjm** · 21/08/2009, 10h42

Super génial ce virus, puisque même le lien sauveur :

A priori ce lien permet de corriger le problème uniquement sur la version Delphi 7.

ne fonctionne pas

**Aka Guymelef** · 21/08/2009, 10h48

Envoyé par Mjm

Super génial ce virus, puisque même le lien sauveur :

ne fonctionne pas

J'ai réparé le lien dans le message de Chaplin.

**chaplin** · 21/08/2009, 11h09

En fait, il s'agit d'un fichier zip comprenant:
- un programme accedant à la base de registre cmdRegCleaner.exe.
- un fichier .bat dont le code est ci-dessous:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
title AntiVirus for sysconst.dcu
 
@echo Cleaning registry HKLM\SOFTWARE\Borland\Delphi\7.0\RootDir
 
cmdRegCleaner.exe HKLM "Software\Borland\Delphi\7.0\RootDir"
 
@echo on
 
 
@echo Check file "C:\Program Files\Borland\Delphi7\Lib\sysconst.bak"
 
if exist "C:\Program Files\Borland\Delphi7\Lib\sysconst.bak" (
 
  @echo Check file "C:\Program Files\Borland\Delphi7\Lib\sysconst.dcu"
  if exist "C:\Program Files\Borland\Delphi7\Lib\sysconst.dcu" (
    @echo Deleting file "C:\Program Files\Borland\Delphi7\Lib\sysconst.dcu"
    del "C:\Program Files\Borland\Delphi7\Lib\sysconst.dcu" /s
   )
  @echo Copy "C:\Program Files\Borland\Delphi7\Lib\sysconst.bak" "C:\Program Files\Borland\Delphi7\Lib\sysconst.dcu"
  copy "C:\Program Files\Borland\Delphi7\Lib\sysconst.bak" "C:\Program Files\Borland\Delphi7\Lib\sysconst.dcu"
) else (
  @echo File "C:\Program Files\Borland\Delphi7\Lib\sysconst.bak" not found!!!!
)
 
@echo off
 
pause

En conclusion, si vous lisez les instructions dans ce fichier .bat, vous pouvez aussi le faire manuellement, si jamais vous auriez peur de télécharger un fichier provenant d'un site russe.

Edit:

Ce lien explique de façon détaillée comment le virus opère.

Le virus est totalement inoffensif, il ne provoque pas de dégats, simplement il s'appuie sur un mode de reproduction pour le moins curieux.

Juste un rappel, Delphi 7 date de 2002.

**chaplin** · 21/08/2009, 16h18

Envoyé par smyley

C'est pas les .pas que vous n'avez pas justement ?

En fait le virus a besoin d'un fichier .pas, plus spécifiquement de SysConst.pas qui fait partie des fichiers minimums pour compiler n'importe quelle application.

Par conséquent le virus ne peut pas se déployer par une version Delphi 7 perso qui ne comporte que des .dcu.

"L'avantage" de son mode de transmission est qu'on sait exactement ce qu'il fait puisque le code se trouve dans le fichier contaminé. Mais ce genre de reproduction pourrait concerné aussi d'autres compilateurs, car le principe aussi original soit-il utilise un mécanisme finalement très simple.

En tout cas, si les précautions sont prises, ce mode de reproduction peut être évité.

EDIT:

La petite subtilité, après lecture de ce blog, c'est que le code viral injecté dans le .pas va lancer une compilation pour générer un fichier .dcu. Comme le compilateur peut fonctionner sans le .pas à condition d'avoir un fichier .dcu, dés lors que ce dernier est créé, le fichier .pas est supprimé définitivement.

Une réinstallation de Delphi serait donc à prévoir en cas d'action du virus.

**VLDG** · 22/08/2009, 14h49

Comment réparer :

http://blog.marcocantu.com/blog/stop...phi_virus.html

Virus : un malware touche les logiciels développés en Delphi

Delphi

Discussions similaires

Partager

Partager