Total Commander Forum Index Total Commander
Форум поддержки пользователей Total Commander
Сайты: Все о Total Commander | Totalcmd.net | Ghisler.com | RU.TCKB
 
 RulesRules   SearchSearch   FAQFAQ   MemberlistMemberlist   UsergroupsUsergroups   RegisterRegister 
 ProfileProfile   Log in to check your private messagesLog in to check your private messages   Log inLog in 

Вирус в Delphi-плагинах
Goto page 1, 2  Next
 
Post new topic   Reply to topic    Total Commander Forum Index -> Плагины Total Commander printer-friendly view
View previous topic :: View next topic  
Author Message
ProgMan13



Joined: 19 Aug 2009
Posts: 334

Post (Separately) Posted: Wed Aug 19, 2009 16:17    Post subject: Вирус в Delphi-плагинах Reply with quote

В моих двух есть (в ICLRead и в ICLView).
Вирус не опасный и селиться в SysConst.dcu в папке Lib, т.е. владельцы Delphi (4-7 версий), возможно, уже с этой заразой.

http://www.kaspersky.ru/news?id=207733037
http://gunsmoker.blogspot.com/2009/08/delphi-delphi.html
http://habrahabr.ru/blogs/virus/66937/
Back to top
View user's profile Send private message
Alextp



Joined: 06 Feb 2005
Posts: 4957

Post (Separately) Posted: Wed Aug 19, 2009 17:23    Post subject: Reply with quote

NOD32 от него лечит?
_________________
UniViewer - CudaText - LogViewer
Back to top
View user's profile Send private message
Tol!k



Joined: 01 Apr 2008
Posts: 1727
Location: Арзамас

Post (Separately) Posted: Wed Aug 19, 2009 17:48    Post subject: Reply with quote

Здесь http://gunsmoker.blogspot.com/2009/08/delphi-delphi.html пишут:
> поищите строчку “closefile(f2);” (без кавычек, разумеется) ... Таким же образом можно проверить и собранный exe-файл.
В ICLRead 1.4 и ICLView 5.5.2009 эту строку не нашёл. Эти версии не заражены или всё-таки строку нужно искать в исходнике?
Back to top
View user's profile Send private message
Avada



Joined: 01 Aug 2008
Posts: 10315
Location: Россия, Саратов

Post (Separately) Posted: Wed Aug 19, 2009 18:50    Post subject: Reply with quote

Tol!k
Похоже — заражены. У меня Avast! на них ругается, а при онлайновой проверке на www.virustotal.com заразу обнаруживают от трети до половины антивирусов.
_________________
Даже самая богатая фантазия
Не представит себе наши безобразия.
Back to top
View user's profile Send private message
Tol!k



Joined: 01 Apr 2008
Posts: 1727
Location: Арзамас

Post (Separately) Posted: Wed Aug 19, 2009 19:23    Post subject: Reply with quote

Avada
Да, обнаруживают.
Back to top
View user's profile Send private message
DrShark



Joined: 21 Oct 2006
Posts: 911
Location: Kyiv, Ukraine

Post (Separately) Posted: Wed Aug 19, 2009 19:46    Post subject: Reply with quote

Аддоны CopyToTabs и Tc_But_Exe, а также плагин Mover.wcx заражены. Успешно лечатся как минимум Касперским с последними базами, так что обновляйте базы вашего антивируса.
Обсуждение Delphi-вируса на ghisler.ch
Back to top
View user's profile Send private message
Avada



Joined: 01 Aug 2008
Posts: 10315
Location: Россия, Саратов

Post (Separately) Posted: Wed Aug 19, 2009 20:15    Post subject: Reply with quote

Поскольку не все пользуются Касперским, можно ли куда-то выложить пролеченные версии плагинов и аддонов?
_________________
Даже самая богатая фантазия
Не представит себе наши безобразия.
Back to top
View user's profile Send private message
DrShark



Joined: 21 Oct 2006
Posts: 911
Location: Kyiv, Ukraine

Post (Separately) Posted: Wed Aug 19, 2009 20:30    Post subject: Reply with quote

2Avada
http://www.multiupload.com/24CLO0IRS4
Здесь пролеченные дистрибутивы последнего mover.wcx, CopyToTabs 4.2.6.5 и 5.0, а также TC_But_Exe (трудно сказать, какой версии).
Back to top
View user's profile Send private message
Avada



Joined: 01 Aug 2008
Posts: 10315
Location: Россия, Саратов

Post (Separately) Posted: Wed Aug 19, 2009 20:36    Post subject: Reply with quote

DrShark
Спасибо. А как в этом смысле дела с ICLRead и ICLView?
_________________
Даже самая богатая фантазия
Не представит себе наши безобразия.
Back to top
View user's profile Send private message
DrShark



Joined: 21 Oct 2006
Posts: 911
Location: Kyiv, Ukraine

Post (Separately) Posted: Wed Aug 19, 2009 20:59    Post subject: Reply with quote

Avada wrote:
DrShark
Спасибо. А как в этом смысле дела с ICLRead и ICLView?

В тех версиях, что есть у меня, Касперский ничего не находит.
В любом случае, лучше дождаться обновлённых версий от ProgMan13.
Back to top
View user's profile Send private message
Avada



Joined: 01 Aug 2008
Posts: 10315
Location: Россия, Саратов

Post (Separately) Posted: Wed Aug 19, 2009 22:06    Post subject: Reply with quote

DrShark
В ICLRead 1.4/1.4.1 и ICLView от 5.05.09 Avast! и CureIt видят вирус, но не могут вылечить файлы. Касперский при онлайновой проверке не видит ничего. Так что действительно лучше всего ждать правильных версий от разработчика.
_________________
Даже самая богатая фантазия
Не представит себе наши безобразия.
Back to top
View user's profile Send private message
ProgMan13



Joined: 19 Aug 2009
Posts: 334

Post (Separately) Posted: Wed Aug 19, 2009 22:59    Post subject: Reply with quote

Про NOD32 ничего сказать не могу.
Файлы пакованные, поэтому строки в них не найти.
А бяка SysConst.bak и SysConst.dcu была у меня.
Старый, получается, уже вирус Smile
В течение недели обновлю.
Back to top
View user's profile Send private message
CJ Flash



Joined: 15 Feb 2006
Posts: 128
Location: Череповец

Post (Separately) Posted: Thu Aug 20, 2009 02:56    Post subject: Reply with quote

Avada wrote:
DrShark
Спасибо. А как в этом смысле дела с ICLRead и ICLView?

Вирус в плагинах есть однозначно — достаточно снять пакер (UPX), да и автор уже это признал. Жду обновления, а пока что отправил посылку Касперским… Smile
UPD: С базами от 21.08.2009 9:07:00 вирус в указанных плагинах обнаруживается Касперским. К сожалению, без возможности лечения.
_________________
The past was yesterday...

TC 8.51a x32, #116718 Personal licence


Last edited by CJ Flash on Fri Aug 21, 2009 13:28; edited 3 times in total
Back to top
View user's profile Send private message
Athlon-XP



Joined: 20 Aug 2009
Posts: 1

Post (Separately) Posted: Thu Aug 20, 2009 18:40    Post subject: Reply with quote

Скачал вчера ICLView 5.5.2009 а сегодня NOD32 v2.37 обнаружил Win32/Induc.A Пришлось вернуться на версию 3.10.2006
Результат на VirusTotal = 17/41 (41.47%)
К сожалению NOD32 v2.37 и DrWeb v5.0 (CureIt!) его определяют, но не лечат, а Kaspersky v7.0 (AVPTool) и AVZ (отправил им в базу) его даже не определяют.
Спасибо автору плагина, что хоть догадался убрать его с WinCmd.ru, а вот то что выставил на раздачу зараженный файл - это большой минус Sad
Надо всё таки понимать, что плагин очень популярный, а также что WinCmd.ru очень популярный и надежный ресурс и получать оттуда такую гадость очень неприятно.
Надеюсь уважаемый автор этого (и других) хороших плагинов сделает для себя выводы...
Back to top
View user's profile Send private message
Avada



Joined: 01 Aug 2008
Posts: 10315
Location: Россия, Саратов

Post (Separately) Posted: Thu Aug 20, 2009 19:20    Post subject: Reply with quote

Athlon-XP
Надеюсь, уважаемый новый участник форума обратит в свою очередь внимание, что в этой теме:
а) часть информации его поста повторяет уже сказанное;
б) никто из форумчан до этого не пытался читать нотации (даже с оговорками и реверансами) автору плагинов, который, кстати, сам же эту тему и создал.
_________________
Даже самая богатая фантазия
Не представит себе наши безобразия.
Back to top
View user's profile Send private message
Display posts from previous:   
Post new topic   Reply to topic    Total Commander Forum Index -> Плагины Total Commander All times are GMT + 4 Hours
Goto page 1, 2  Next
Page 1 of 2

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum


Powered by phpBB © 2001, 2005 phpBB Group