 QIP 8094 Вирусован или ложное срабатывание ? |
  |
  15.08.2009 17:51
Post
#1
|
|
|
Member  Group: Members Posts: 37 Joined: 1.07.2009  |
В основном исполняемом файле программы детектировано заражение Virus.Win32.Induc.a
This post has been edited by RymMe: 15.08.2009 17:51 |
 |
 
|
|
15.08.2009 17:59
Post
#2
|
|
|
Helper Group: Members Posts: 738 Joined: 16.05.2009 From: Belarus |
Проверьте файл http://www.virustotal.com/ru/ ссылку на проверку выложите сюда.
-------------------- |
|
|
|
|
15.08.2009 18:04
Post
#3
|
|
|
Member Group: Members Posts: 37 Joined: 1.07.2009 |
|
|
|
|
|
15.08.2009 18:08
Post
#4
|
|
|
Advanced Member Group: Members Posts: 135 Joined: 6.08.2009 |
Возможно это вам пригодится:
QUOTE В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некоторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значения ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса. Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия: 1. Удалите SysConst.dcu 2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения. http://habrahabr.ru/blogs/virus/66937/ Советуют обновить кип до 8095 This post has been edited by KISDmitriy: 15.08.2009 18:10 -------------------- |
|
|
|
|
15.08.2009 18:12
Post
#5
|
|
|
Helper Group: Members Posts: 738 Joined: 16.05.2009 From: Belarus |
Отправте этот файл на newvirus@kaspersky.com c пометкой ложное срабатывание.
-------------------- |
|
|
|
|
15.08.2009 18:18
Post
#6
|
|
|
Member Group: Members Posts: 37 Joined: 1.07.2009 |
Как VirusTotal, так и отправка на ложное срабатывание были выполнены сразу же, еще до ваших постов.
Но после статьи про делфи, могу сказать что скорее всего таки вирус (у меня установлена Делфя и бэкап-файл, описанный в статье нашелся)... Так что думаю таки не ложное... |
|
|
|
|
15.08.2009 18:26
Post
#7
|
|
|
Helper Group: Members Posts: 738 Joined: 16.05.2009 From: Belarus |
Ждем ответа из вирлаба.
-------------------- |
|
|
|
|
15.08.2009 18:35
Post
#8
|
|
|
Member Group: Members Posts: 37 Joined: 1.07.2009 |
Virus.Win32.Induc.a Файл: C:\Program Files\QIP\qip.exe
Virus.Win32.Induc.a Файл: C:\Program Files\Borland\Delphi7\Lib\SysConst.dcu В статье описано что также заражены некоторые билды AIMP Советую разработчикам с Delphi по-быстрому подлечиться, а то масштабы заражения так быстренько увеличатся |
|
|
|
|
15.08.2009 18:37
Post
#9
|
|
|
Helper Group: Members Posts: 738 Joined: 16.05.2009 From: Belarus |
что-то нечистым пахнет выполните это на всякий пожарный http://forum.kaspersky.com/index.php?showtopic=68668
-------------------- |
|
|
|
|
15.08.2009 20:51
Post
#10
|
|
|
Expert Support Team Group: KL Russia Posts: 5374 Joined: 14.01.2008 From: Russia,Moscow |
Дистрибутив QIP 8094 заражен уже известным делфевским вирусом,поэтому отныне он детекится как Virus.Win32.Induc.a. Все вопросы к разработчикам QIP.
Тема закрыта. |
|
|
|
|
1 User(s) are reading this topic (1 Guests and 0 Anonymous Users)
0 Members:
| Lo-Fi Version | Time is now: 9.02.2010 19:11 |