今日、私の友人は、とりわけDelphiで2Dゲームを開発するのが好きで、彼の次のささいなことを送ってくれました。 信頼するが検証する! -私は思った、そして古き良き伝統に従って、私はファイルをVirusTotalに送った。 テスト結果を待った後、おもちゃをすばやく起動したいという欲求はどういうわけか消えました...テスト結果の表のいくつかのセルでは、すでによく知られている単語「Induc」が美しい赤色で書かれていました。 私のアンチウイルスの鳴き声(ああ、彼はこれを長い間やっていないようです)がないことに少し驚いたので、整理しに行きました。 しかし、ウイルス対策会社の代表者ではなく、感染したファイルのデバイスと。
2009年の夏の終わりに、InducがDelphiプログラミング愛好家だけでなく、QIPやAIMPなどの多くの人気プログラムにも感染したことを思い出し、初めて友達のファイルを起動したわけではないと考えて、インストールを確認してください。 空のプロジェクトをコンパイルしたら、同じVirusTotalに送信しました-七面鳥はありません!
少し落ち着いて、仮想マシンを起動してDelphi 7のインストールを開始します。忘れずに、2009年の夏の終わりと、このマックの仕組み、増殖、生活についての多くのインターネットフォーラムでの議論を思い出します。 ただし、遅延はより強力であり、さらに、インストーラーはIDEのインストールが正常に完了したことを報告しました。
私が最初に思いついたのは、プロセスモニターを起動して、感染したファイルがどこに表示されたかを確認することでした。 すぐに言ってやった!
スクリーンショットは、SysConst.pasファイルに何かを繰り返し書き込んだ後、おもちゃがDelphiコンパイラ(dcc32.exe)に変わり、明らかにこのpasファイルをコンパイルしようとしていることを示しています。
さらに苦労せずに、デルファイのインストール後に仮想マシンの初期状態にロールバックした後、DCC32.EXEファイルの代わりにこのコンテンツのソースコードを使用してexe-shnikをスリップします。
したがって、copy.pasファイルでは、pastebin.com / QT0tEVJbが次のようになります。
元のSysConst.pasと比較すると、悪意のある行が追加されていることがわかります。
少し掘り下げた後、フォーマットされたソースコードpastebin.com/KpmuSii9を得ました(私のコメント)。
ご覧のとおり、まず起動時に、プログラムがデバッガーの下にある(なぜ?)か、NTシステムで起動されているかどうかが何らかの方法でチェックされます。そうでない場合、実行は停止します。
次に、ウイルスはレジストリ内をクロールし、インストールされているDelphiのバージョンとそのフォルダへのパスを探します。
次に、元のSysConst.pasファイルを読み取り、有害な行を追加してlibフォルダー、つまりSysConst.dcuファイルと同じ場所に保存するプロシージャが呼び出されます。 その後、同じ手順でコンパイラが起動し、感染したファイルSysConst.dcuが取得されます。 また、悪意のあるソースを削除し、新しいSysConst.dcuファイルの作成時刻、最終アクセス時刻、および変更時刻を前のバージョンと同様に設定します。
そして、「カルパティアの森CF1.3 BondedByBlood」という行がSysConst.pasファイルに書き込まれます
それがすべてのようで、Inducは彼の仕事をしました...しかし、それほど有害ではない機能を実装する未使用の手順がまだいくつかあります。 そのため、チェックプロシージャを開始するときに、2010年10月13日以上であるかどうかがチェックされ、チェックされている場合は、分析プロシージャが開始されます。 この手順では、最初にhal.dll、urlmon.dll、userinit.exe、logoff.exe、rasapi32.dll、explorer.exe、ntdetect.comファイルを上書きしてから、C:からZ:までのディスク上のすべてのファイルを検索します。それらは、ゼロ文字のキロバイトで希釈された文字列「Carpathian Forest CF1.3 BondedByBlood」を周期的に書くことによって損なわれます。 これがすべて終了すると、ウィンドウが開き、「 今日は死ぬべき日です」という見出しが表示されます。 「およびテキスト」 カルパチアの森CF1.3 BondedByBlood 」。
ただし、作成者はこれらのすべての機能を非表示にすることを選択しました(または単に接続を忘れていました)。
また、ウイルスは少し古くなっており(2010-10-13の日付がソースに表示されているため)、 ほとんどの人気のあるウイルス対策は夢でも精神でもないようです...このような単純なウイルスを検出する難しさは何ですか?