(Resolvido) Virus Maldito

[Douglas Soares]

Bom Dia, um novo virus foi criado essa semana, é um tal de Induc, ele afeta a Lib do Delphi, e tudo que se compila ele joga seu virus no programa!

Infelizmente peguei esse virus!, aprendi a remove-lo, é só entrar na pasta Lib do delphi, apagar o arquivo sysconst.dcu, e renomear o sysconst.bak para sysconst.dcu,

porem hoje fui compilar e detectou virus dinovo! fui la e fiz o processo novamente! gostaria de saber como resolver o maldito por definitivo.

Abraços

[Jhonas]

Leia abaixo nota da Kaspersky

Recentemente acrescentamos a detenção de um file infector os nossos bancos de dados, para algo que chamamos o Vírus. Win32. Induc.a. Desde então, tivemos uma grande carga de perguntas sobre ele. Ele não tem atualmente uma carga de praga maliciosa, e ele não infecciona diretamente arquivos.exe. Em vez disso, ele verifica se Delphi é instalado na máquina de vítima, procurando versões 4.0, 5.0, 6.0 e 7.0.

Se o malware realmente encontrar uma destas versões Delphi, ele copia SysConst.pas a \Lib e escreve-lhe o seu código. Ele então faz um apoio de SysConst.dcu, chamando-o SysConst.bak (dcu arquivos são guardados em \Lib). Ele então compila \Lib\SysConst.pas que dá uma versão infeccionada de SysConst.dcu. O arquivo.pas modificado é eliminado.

Código Fonte

1

2

3

4

uses windows;

var sc:array[1..24] of string=('uses windows; var sc:array[1..24] of string=(', 'function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s',

'=#36 then s:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;', 'h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin',

'h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if h<>DWORD(-1) then begin CloseHandle', "

O resultado – qualquer programa Delphi compilado no computador é infeccionado

Muito provavelmente voce já não tem mais este arquivo .... sysconst.pas

Alem de renomear o SysConst.bak para SysConst.dcu voce deve verificar o SysConst.pas

Se ele não existir pegue esta copia e recompile

{*******************************************************}
{                                                       }
{       Borland Delphi Runtime Library                  }
{                                                       }
{       Copyright (C) 1995,99 Inprise Corporation       }
{                                                       }
{*******************************************************}

unit SysConst;

interface

resourcestring
  SUnknown = '<unknown>';
  SInvalidInteger = '''%s'' is not a valid integer value';
  SInvalidFloat = '''%s'' is not a valid floating point value';
  SInvalidDate = '''%s'' is not a valid date';
  SInvalidTime = '''%s'' is not a valid time';
  SInvalidDateTime = '''%s'' is not a valid date and time';
  STimeEncodeError = 'Invalid argument to time encode';
  SDateEncodeError = 'Invalid argument to date encode';
  SOutOfMemory = 'Out of memory';
  SInOutError = 'I/O error %d';
  SFileNotFound = 'File not found';
  SInvalidFilename = 'Invalid filename';
  STooManyOpenFiles = 'Too many open files';
  SAccessDenied = 'File access denied';
  SEndOfFile = 'Read beyond end of file';
  SDiskFull = 'Disk full';
  SInvalidInput = 'Invalid numeric input';
  SDivByZero = 'Division by zero';
  SRangeError = 'Range check error';
  SIntOverflow = 'Integer overflow';
  SInvalidOp = 'Invalid floating point operation';
  SZeroDivide = 'Floating point division by zero';
  SOverflow = 'Floating point overflow';
  SUnderflow = 'Floating point underflow';
  SInvalidPointer = 'Invalid pointer operation';
  SInvalidCast = 'Invalid class typecast';
  SAccessViolation = 'Access violation at address %p. %s of address %p';
  SStackOverflow = 'Stack overflow';
  SControlC = 'Control-C hit';
  SPrivilege = 'Privileged instruction';
  SOperationAborted = 'Operation aborted';
  SException = 'Exception %s in module %s at %p.'#$0A'%s%s';
  SExceptTitle = 'Application Error';
  SInvalidFormat = 'Format ''%s'' invalid or incompatible with argument';
  SArgumentMissing = 'No argument for format ''%s''';
  SInvalidVarCast = 'Invalid variant type conversion';
  SInvalidVarOp = 'Invalid variant operation';
  SDispatchError = 'Variant method calls not supported';
  SReadAccess = 'Read';
  SWriteAccess = 'Write';
  SResultTooLong = 'Format result longer than 4096 characters';
  SFormatTooLong = 'Format string too long';
  SVarArrayCreate = 'Error creating variant array';
  SVarNotArray = 'Variant is not an array';
  SVarArrayBounds = 'Variant array index out of bounds';
  SExternalException = 'External exception %x';
  SAssertionFailed = 'Assertion failed';
  SIntfCastError = 'Interface not supported';
  SSafecallException = 'Exception in safecall method'; 
  SAssertError = '%s (%s, line %d)';
  SAbstractError = 'Abstract Error';
  SModuleAccessViolation = 'Access violation at address %p in module ''%s''. %s of address %p';
  SCannotReadPackageInfo = 'Cannot access package information for package ''%s''';
  sErrorLoadingPackage = 'Can''t load package %s.'#13#10'%s';
  SInvalidPackageFile = 'Invalid package file ''%s''';
  SInvalidPackageHandle = 'Invalid package handle';
  SDuplicatePackageUnit = 'Cannot load package ''%s.''  It contains unit ''%s,''' +
    ';which is also contained in package ''%s''';
  SWin32Error = 'Win32 Error.  Code: %d.'#10'%s';
  SUnkWin32Error = 'A Win32 API function failed';
  SNL = 'Application is not licensed to use this feature';

  SShortMonthNameJan = 'Jan';
  SShortMonthNameFeb = 'Feb';
  SShortMonthNameMar = 'Mar';
  SShortMonthNameApr = 'Apr';
  SShortMonthNameMay = 'May';
  SShortMonthNameJun = 'Jun';
  SShortMonthNameJul = 'Jul';
  SShortMonthNameAug = 'Aug';
  SShortMonthNameSep = 'Sep';
  SShortMonthNameOct = 'Oct';
  SShortMonthNameNov = 'Nov';
  SShortMonthNameDec = 'Dec';

  SLongMonthNameJan = 'January';
  SLongMonthNameFeb = 'February';
  SLongMonthNameMar = 'March';
  SLongMonthNameApr = 'April';
  SLongMonthNameMay = 'May';
  SLongMonthNameJun = 'June';
  SLongMonthNameJul = 'July';
  SLongMonthNameAug = 'August';
  SLongMonthNameSep = 'September';
  SLongMonthNameOct = 'October';
  SLongMonthNameNov = 'November';
  SLongMonthNameDec = 'December';

  SShortDayNameSun = 'Sun';
  SShortDayNameMon = 'Mon';
  SShortDayNameTue = 'Tue';
  SShortDayNameWed = 'Wed';
  SShortDayNameThu = 'Thu';
  SShortDayNameFri = 'Fri';
  SShortDayNameSat = 'Sat';

  SLongDayNameSun = 'Sunday';
  SLongDayNameMon = 'Monday';
  SLongDayNameTue = 'Tuesday';
  SLongDayNameWed = 'Wednesday';
  SLongDayNameThu = 'Thursday';
  SLongDayNameFri = 'Friday';
  SLongDayNameSat = 'Saturday';

implementation

end.

abraço

[Douglas Soares]

Muito Obrigado Jhonas, porem agora quando vou compilar algo da um erro!

[Fatal Error] senhas.dpr(97): Unit SysUtils was compiled with a different version of SysConst.SInvalidGUID

Abraços

Meu deus, e tem mais!

[Fatal Error] cadClientes.pas(6): Unit Variants was compiled with a different version of SysConst.SVarTypeCouldNotConvert

[Fatal Error] cadClientes.pas(6): Unit VarUtils was compiled with a different version of SysConst.SVarArrayLocked

Socorro!

[Jhonas]

O arquivo SysConst.pas esta neste caminho

C:\Arquivos de programas\Borland\Delphi5\Source\Rtl\Sys

OBS: O SysConst.pas que te postei é do delphi 5 ... se a sua versão não for essa vai dar esses erros

Unit SysUtils was compiled with a different version of SysConst.SInvalidGUID

Unit SysUtils foi compilada em uma versão diferente de SysConst.SInvalidGUID

Outra sugestão .... copie o arquivo do seu CD de instalação do delphi

abraço

[Douglas Soares]

Como sempre você está certo, eeheh, Obrigado Jhonas!

Abraço :wub: