Virus infiziert Delphi Entwicklungsumgebung

[AHT]

Ich glaube, das betrifft uns hier unter Umständen auch, deswegen schmeiße ich den Artikel hier mal zur Diskussion rein:
heise Security - 18.08.09 - Virus infiziert Entwicklungsumgebung [Update]

Im Prinzip kann jedes gestartete Programm ganz einfach Daten einer Profan Include durch eigenen Quelltext ersetzen. Was kann und sollte man tun, um sich abzusichern?

[Frabbing]

Dann wollen wir hoffen, dass unser XProfan sauber ist!

[markusg]

bei den im heise-link genannten Programmen und bei einigen andern sollte man aufpassen, die av-hersteller haben probleme das ding zu erkennen. Prevx kaspersky panda und noch andere erkennen es bereits

[RGH]

Zitat:

Zitat von Frabbing

Dann wollen wir hoffen, dass unser XProfan sauber ist!

Die letzten XProfan Versionen wurden mit Turbo Delphi entwickelt, was nicht zu den betroffenen Versionen gehört.
Davor war Delphi 5 im Einsatz, aber zu Zeiten, da es den Virus noch nicht gab!

Gruß
Roland

[AHT]

Sei mit solchen Äußerungen etwas Vorsichtig, Roland!
Scheinbar schießen sich da einige Leute auf die Softwarehersteller ein.
Was in der Presse steht, ist nur das, was bekannt ist (was gefunden wurde).
Gerade im Delphi-Bereich sind zur Zeit sehr viele Leute unterwegs, die wirklich programmieren können und im OS zu Hause sind, wie in ihrem Wohnzimmer. Die Wahrscheinlichkeit, dass da etwas geschrieben wird, was erst Wochen oder Monate (...) später entdeckt wird (nachdem es Schaden angerichtet hat), ist extrem groß.
Du bist auf jeden Fall kein unvorsichtiger Mensch - ich mache mir alleine deshalb schon nicht viele Gedanken. Solche Meldungen sollte man aber als Anlass nehmen, noch einmal sehr genau über seine "Vorsicht" nachzudenken und zu überprüfen, ob diese reicht. Anhand der Meldung sieht jeder Virenprogger, dass das recht gut funktioniert, was dort getan wurde - das wird also in besserer Variante wiederholt.

Wenn nan dann zusätzlich noch sieht, dass sich jemand in einem anderen Forum als Pseudonym scheinbar den Namen eines Trojaners ausgesucht hat, kommt man dann natürlich etwas ins grübeln - auch wenn das ja nichts bedeuten muss.

[RGH]

Keine Bange,
ich passe so gut es geht auf, dass nichts auf meinen Rechner kommt, was nicht auf meinen Rechner soll! 100%ige Sicherheit gibt es natürlich nirgendwo ...

Gruß
Roland

[AHT]

Wie gesagt, das du vorsichtig bist, sieht man an deinen Postings.

Wie sieht es aber mit den Leuten aus, die mit Profan arbeiten?
Im XProfan Ordner befindet sich ja ein Ordner mit Includes und PH-Dateien, die bei einem Compiliervorgang unter Umständen mit eingebunden werden. Diese Dateien befinden sich in reinem Textformat und sind recht einfach zu ändern - vertraut man den falschen Leuten, wird dann beim Compilieren unter Umständen nicht mehr das eigene Programm erzeugt, sondern das eines ganz anderen.
Hat sich von euch schon mal jemand darüber Gedanken gemacht oder hat irgendwelche Komzepte, dies zu verhindern oder zumindestens bei Bedarf anzuzeigen?

[markusg]

hier kann man vorsichtig sein wie man will, es sind schon sehr viele Programme befallen und das über einen längeren Zeitraum:
avast! blog Win32:Induc, new concept of file infector?

[Frabbing]

Zitat:

Hat sich von euch schon mal jemand darüber Gedanken gemacht oder hat irgendwelche Komzepte, dies zu verhindern oder zumindestens bei Bedarf anzuzeigen?

PH-Dateien können größtenteils vermieden werden, wenn man XChange (XPIA-Paket) oder XPSE verwendet. Bei Include-Dateien hilft wohl nur, diese eigenhändig durchzusehen.
Ich vermisse schon lange eine zentrale Stelle, die Includes/PHs wartet, laufend aktualisiert und bereitstellt. Bislang hat sich dafür leider noch niemand gefunden.
Würde soetwas existieren, könnten man dort Checksummen für die Dateien berechnen und ein kleines Tool erstellen, mit dem jeder die Checksumme seiner Datei(en) vergleichen kann.

[AHT]

@markusg: Genau! Alleine dadurch, dass man gegenseitig Programme austauscht und diese testet, kann sich so etwas sehr schnell verbreiten.

@Frank: Ein Programm, das bestimmte Ordner mit Checksummen versieht und evtl. alles bei Systemstart überprüft, wäre schon nicht schlecht.
Ich hätte da im Augenblick an was gedacht, was eine Sicherungskopie eines Ordners anlegt und bei Bedarf zwei Ordner miteinander vergleicht. Mann könnte sich dann evtl. direkt anzeigen lassen, was sich genau verändert hat.

@Roland: Gibt es in Profan irgendeine Möglichkeit, solche "Testprogramme" nach jedem Compilierungsvorgang ausführen zu lassen?

[Bangkok]

Ich denke mal es ist sehr unwahrscheinlich, dass die Ph Dateien von Profan befallen werden oder einer sich die Mühe macht einen Virus speziell für Profan zu schreiben, müsste schon jemand aus der Szene sein. Wer sich eine Ph-Datei irgendwo herholt muss die natürlich überprüfen. Wir sollten aber auch aufpassen, dass die Bedrohungen die ja überall vorhanden sind nicht zum Verfolgungswahn und zur Paranoia werden.

[Frabbing]

Das ist wahr. Andererseits gab es ja schon einen Decompiler für Profan. Jeder muss halt ein wenig aufpassen.

[AHT]

Zitat:

Zitat von Bangkok

Ich denke mal es ist sehr unwahrscheinlich, dass die Ph Dateien von Profan befallen werden

Mal angenommen, ein Profaner wurde sich öffentlich in irgendeiner Art gegen Malware einsetzen - und das unter Umständen recht effektiv. Würde die Wahrscheinlichkeit da nicht steigen?

[Bangkok]

@AHT
ich denke mal nein, denn Rache ist nicht das Motiv von Virusprogrammierern und die Ph-Dateien sind ein denkbar schlechter Ansatz, da es reine Textdateien sind und somit von jedem einsehbar. Zudem müsste zuerst ein Virus eingeschleust werden, der mein Includeverzeichnis ermittelt und dann die Dateien verändert. Das ginge vielleicht einmal zu machen und dann würde es auffallen. Aber Viren sind Massenware und die Wahrscheinlichkeit gering, dass auf einem Computer damit Treffer erzielt werden.

Nein ich bin nur nicht panisch und versuche keine Gefahren herbei zu reden. Das reale Leben ist weitaus gefährlicher und wenn ich diese Angst darauf übertrage, dürfte ich nicht mehr das Haus verlassen oder wie in meinem Fall, ich würde niemals mehr ein Flugfleug bestiegen und damit nicht arbeiten können und nie mehr nach Hause kommen, denn fliegen ist auch gefährlich, wie man an Beispielen sieht.

Ich bin nicht scharf auf einen Virus aber was kann denn passieren, irgendwann fällt es auf, dass das System Probleme macht und ich vielleicht gezwungen bin ein Format c: zu machen, na und. Da ich weiß, dass ich im Internet bin habe ich keinerlei für mich schädliche Daten auf dem Computer, selbst wenn jemand mein Passwort für das Banking hätte, er könnte mit mir gemeinsam beobachten wie mein Geld schrumpft und sehen was ich doch für ein armes Schwein bin. aber keinerlei Transaktionen durchführen, da die Tan nur in Papierform vorliegen und die Wahrscheinlichkeit gering ist, dass er die geforderte Nummer trifft.

Deshalb bin ich etwas gegen das herbeireden oder gar herbeisehnen von Gefahren und will auch nicht jede noch so geringe Möglichkeit aufgreifen und für mich als Bedrohung ansehen.

Jeder ist auch für seinen Leichtsinn selbst verantwortlich

[AHT]

Das ist eine gute Meinung .
Zum "Rachemotiv" würde ich aber vielleicht mal den einen oder anderen Programmierer von Anti-RootKit-Software befragen. EP_XOFF zum Beispiel. Ich glaube, die könnten dir da von anderen Sachen berichten.