Trojaner in Delphi programmiert

Für alles, was in den übrigen Lazarusthemen keinen Platz, aber mit Lazarus zutun hat.

Trojaner in Delphi programmiert

Beitragvon Socke » 10. Nov 2017, 12:54 Trojaner in Delphi programmiert

Hallo zusammen,

Hiermit erfährt Delphi neue populäre Aufmerksamkeit; zum Glück ist hier Delphi genannt und nicht die Sprache "Pascal".
https://www.heise.de/security/meldung/Ordinypt-Erpressungstrojaner-bedroht-deutsche-Firmen-3887249.html
Ich hoffe, dass die Virenscanner nicht auf die typischen Object-Pascal Strings in jedem Binary hereinfallen ...

Grüße
Socke
MfG Socke
Ein Gedicht braucht keinen Reim//Ich pack’ hier trotzdem einen rein
Socke
 
Beiträge: 2385
Registriert: 22. Jul 2008, 18:27
Wohnort: Köln
OS, Lazarus, FPC: Lazarus: SVN; FPC: svn; Win 8.1/Debian GNU/Linux/Raspbian | 
CPU-Target: 32bit x86 armhf
Nach oben

Beitragvon Marc » 10. Nov 2017, 15:06 Re: Trojaner in Delphi programmiert

Wenn es wirklich mit Delphi gemacht wäre, würde es mich nicht wundern wenn es irgendwo im Code eine Seriennummer gäbe?
Bei einer so teuren Software? Ich denke die Kunden sind ja meistens registriert.

Die andere Sache ist, wie kann man sehen mit was es gemacht wurde?
Eigentlich sollte für die CPU ja nur noch der blanke Assemblercode bleiben?
Ist das nicht das unter Compiler Einstellungen -> Optimierung?
Oder eben anhand typischer Muster, die der Compiler erzeugt.
Good code comes from experience, experience comes from bad code.
Marc
 
Beiträge: 148
Registriert: 11. Nov 2016, 14:09
Wohnort: Schweiz
OS, Lazarus, FPC: Linux Mint 18 (WinXP VBox) | 
CPU-Target: 64Bit
Nach oben

Beitragvon relocate » 10. Nov 2017, 16:57 Re: Trojaner in Delphi programmiert

Marc hat geschrieben:Wenn es wirklich mit Delphi gemacht wäre, würde es mich nicht wundern wenn es irgendwo im Code eine Seriennummer gäbe?
Bei einer so teuren Software? Ich denke die Kunden sind ja meistens registriert.


Wäre möglich, würde ich aber für unzulässlichen Eingriff in meine Persönlichkeitsrechte halten. D.h. nur wenn ich es auch möchte und aktiviere.

Marc hat geschrieben:Die andere Sache ist, wie kann man sehen mit was es gemacht wurde?
Eigentlich sollte für die CPU ja nur noch der blanke Assemblercode bleiben?
Ist das nicht das unter Compiler Einstellungen -> Optimierung?
Oder eben anhand typischer Muster, die der Compiler erzeugt.


Das ist was anderes, jede höhere Programmiersprache bietet Standardfunktionen, die in sogenannten Runtime Libraries gebündelt sind.
Damit hinterlässt jeder Compiler einen spezifischen Fußabdruck im Kompilat.
https://de.wikipedia.org/wiki/Laufzeitbibliothek
relocate
 
Beiträge: 20
Registriert: 24. Jan 2012, 11:47

Beitragvon gladio » 10. Nov 2017, 19:33 Re: Trojaner in Delphi programmiert

Bei Avira gibt es z.B. viele Virendefinitionen mit Delphi im Namen:
https://www.avira.com/de/support-virus-lab?vdl%5Bsq%5D=delphi
Ob die auch in Delphi programmiert sind ....?
gladio
 
Beiträge: 68
Registriert: 21. Jun 2014, 05:15
Wohnort: Ostseestrand
OS, Lazarus, FPC: Win7/10-32/64 | 
CPU-Target: 32/64Bit
Nach oben

Beitragvon af0815 » 10. Nov 2017, 20:10 Re: Trojaner in Delphi programmiert

Mit selbst kompilierten Lazarusprogrammen habe ich schon öfters 'positive false' bei Avira (und anderen) gehabt. Besonders dann wenn man was mit Strip gepackt hat.

Vor allen was unterscheidet einen Virus/Trojaner von einem normalen Programm :-) Ok, ne Konsole aufrufen und dort mal format c: angeben :-) Ist genausoviel wie ein Mail, wo ich schreibe, öffen sie bitte eine Commandofenster und geben sie format c: ein :-) (Virus für Arme und Bescheuerte).

Wenn wer einen Virus bauen will, so ist die Sprache egal. Es stellt sich eher die Frage, wie verschleiert man den am besten.

Übrigend dürfte der Virus eine uralte Masche ausnutzen, das manche BS ganz einfach dem Benutzer die Dateiextension nicht anzeigen. Und den genannten Virus durfte man sich zuerst einmal mit zip selbst auspacken. Zumindest wird das behauptet - und das klingt in unserer Gesellschaft total plausibel. Einem Peronaler wird ein zip mit 'angeblichen Unterlagen' geschickt. Der packt das aus und sieht eine pdf darinnen - nur war das halt keine .pdf, sondern eine .pdf.exe - Bingo. Keine Ahnung ob da Win10 oder ein AV schreien würde UND OB man darauf reagiert, wenn das gemeldet wird. IT WIssen und Menschenverstand gehört ja nicht zur allgemeinen Ausrüstung.

Andreas

BTW. Falls sich wer angesprochen fühlt und auf den Schlipps getreten - sorry - das obige ist unspezifischer Sarkasmus - ist also nicht persönlich.
Blöd kann man ruhig sein, nur zu Helfen muss man sich wissen (oder nachsehen in LazInfos/LazSnippets).
af0815
 
Beiträge: 3257
Registriert: 7. Jan 2007, 10:20
Wohnort: Niederösterreich
OS, Lazarus, FPC: Win7/Linux (L stable FPC stable) per fpcup | 
CPU-Target: 32Bit (64Bit)
Nach oben

Beitragvon m.fuchs » 10. Nov 2017, 23:05 Re: Trojaner in Delphi programmiert

af0815 hat geschrieben:Besonders dann wenn man was mit Strip gepackt hat.

Meinst du mit Strip die Debuginfos entfernt oder ehe rmit UPX gepackt? Das letzteres Probleme macht, kann ich nicht vollziehen. Ersteres allerdings nicht.
Software, Bibliotheken, Vorträge und mehr: https://www.ypa-software.de
m.fuchs
 
Beiträge: 1662
Registriert: 22. Sep 2006, 18:32
Wohnort: Berlin
OS, Lazarus, FPC: Winux (L 1.6, FPC 3.0) | 
CPU-Target: x86, x64, arm
Nach oben

Beitragvon pluto » 10. Nov 2017, 23:49 Re: Trojaner in Delphi programmiert

Übrigend dürfte der Virus eine uralte Masche ausnutzen, das manche BS ganz einfach dem Benutzer die Dateiextension nicht anzeigen.

Als ich noch Windows genutzt habe, habe ich immer das als erste "Aktiviert" im Dateimanager. Das die Endungen angezeigt wird.
Brauche ich jetzt unter Linux zum Glück nicht mehr. Wobei Linux schaut ja nicht nur einfach die Endung an, sondern ermittelt eine Signatur.

Ich glaube aber, dass alle Dateimanager es nicht machen. Sicher bin ich mir aber auch nicht.

Das gemeine an diesem Trojaner ist eigentlich, dass dieser per E-Mail daher kommt(Wie auch sonst?) und wirklich täuschend echt nach einer Bewerbungs E-Mail aussieht. Wie würdet ihr reagieren?

Wobei ich mich ja frage, warum die Firmen sich nicht besser absichern? Z.B. per VM oder so... es gibt ja viele Möglichkeiten.
In einer VM öffnen, schauen was drin ist und wenn es sicher ist, kann das auf dem "Normalen" Rechner landen.

Wobei, warum nutzen Firmen dafür nicht einen eigenen Rechner? Wo alle E-Mails landen. Klar es ist mehr Aufwand und Teuer. Aber wenn durch ein Fehlverhalten alle Daten gelöscht werden, dürfte der Schaden noch mehr kosten....
MFG
Michael Springwald
Aktuelles Projekt: PlutoArduino
pluto
 
Beiträge: 6476
Registriert: 19. Nov 2006, 12:06
Wohnort: Oldenburg/Oldenburg
OS, Lazarus, FPC: Linux Mint 17.1 Rebecca | 
Nach oben

Beitragvon Marc » 11. Nov 2017, 00:43 Re: Trojaner in Delphi programmiert

Problem ist doch einfach das man mit gewissen Betriebssystemen nicht mehr ans Netz sollte.
Zumindest normale User nicht.

Die Firmen wissen ja ganz genau Bescheid. Aber es kostet etwas Mühe und Zeit ergo Geld. Also lässt man es.
Passiert schon nix. :-) Die müssen das wirklich auf die harte Tour lernen.
So gesehen haben Trojaner und Viren schon ihre Berechtigung. Darwin lässt grüssen.

Habe schon öfter mal Windows Rechner von Bekannten entwanzt. Ich habe tatsächlich noch keinen gesehen der nicht verseucht war!
Meist landen die Leute beim öffnen des Browsers noch nicht mal mehr bei Google sondern bei etwas das nur so ähnlich aussieht.
Einen Windows 10 Rechner fasse ich schon aus Prinzip nicht mehr an.
Wenn jemand kommt mit Problemen, dann offeriere ich nur noch ein Linux Mint zu installieren.
Entweder suchen sie sich dann einen anderen 'Experten' oder sind nachher ganz glücklich das Ruhe ist.
Zuletzt geändert von Marc am 11. Nov 2017, 00:57, insgesamt 1-mal geändert.
Good code comes from experience, experience comes from bad code.
Marc
 
Beiträge: 148
Registriert: 11. Nov 2016, 14:09
Wohnort: Schweiz
OS, Lazarus, FPC: Linux Mint 18 (WinXP VBox) | 
CPU-Target: 64Bit
Nach oben

Beitragvon pluto » 11. Nov 2017, 00:56 Re: Trojaner in Delphi programmiert

Die Firmen wissen ja ganz genau Bescheid. Aber es kostet etwas Mühe und Zeit ergo Geld. Also lässt man es.
Passiert schon nix. :-) Die müssen das wirklich auf die harte Tour lernen.
So gesehen haben Trojaner und Viren schon ihre Berechtigung. Darwin lässt grüssen.

Einige lernen daraus jedoch leider nicht. Zum Beispiel eine ganze Stadt(München).

Es mag ja gute Gründe geben, dass man Windows haben muss, z.b. wegen Programme die nicht unter Linux laufen die man unbedingt haben muss.
Die meisten sollten jedoch Problemlos Wechseln können auf Linux.

Ich denke, aber dass weicht vom Hauptthema ab.

Ich konnte mal mit einem ResEditor unter Windows, wirklich erkennen, ob es Delphi oder C war.
An den Ressourcen die Ein kompiliert wurden. Ob das immer noch so ist, weiß ich nicht.

Programme können ja sogar erkennen, ob sie in einer VM laufen...
MFG
Michael Springwald
Aktuelles Projekt: PlutoArduino
pluto
 
Beiträge: 6476
Registriert: 19. Nov 2006, 12:06
Wohnort: Oldenburg/Oldenburg
OS, Lazarus, FPC: Linux Mint 17.1 Rebecca | 
Nach oben

Beitragvon Marc » 11. Nov 2017, 01:17 Re: Trojaner in Delphi programmiert

München ist da kein gutes Beispiel, da München keine Firma ist. Da verbraten höchstens Steuergelder, da gibts viel von. :-)

Das ist meiner Meinung nach, ein schönes Beispiel für Lobbyarbeit. Was der Staat braucht bestimmt ja der Staat selber.

Vom letzten Trojaner 'Wanna Cry' wurde ja einige Firmen gröber erwischt. Wäre interessant zu wissen ob die was gelernt haben?
Ich bin mir fast sicher, das ja. Weil es wohl was gekostet hat? Muss nicht heissen das sie jetzt Linux verwenden aber irgendwas haben die sicher verbessert.

Ich kenne schon Gründe für ein Windows. Habe auch (alte) Programme die nur unter Windows laufen. Aber eben wie Du schreibst, da gibts VM dafür.
Good code comes from experience, experience comes from bad code.
Marc
 
Beiträge: 148
Registriert: 11. Nov 2016, 14:09
Wohnort: Schweiz
OS, Lazarus, FPC: Linux Mint 18 (WinXP VBox) | 
CPU-Target: 64Bit
Nach oben

Beitragvon u-boot » 11. Nov 2017, 12:14 Re: Trojaner in Delphi programmiert

Marc hat geschrieben:Wäre interessant zu wissen ob die was gelernt haben?
Ich bin mir fast sicher, das ja. Weil es wohl was gekostet hat?


Sicher Leute die nach Polizei rufen wenn am Bildschirm etwas schief läuft . Was wollen die lernen ?
Sind doch immer die anderen schuldig....

Prinzipiell das gleiche, als wenn man Fehlkonstruktionen in den Maschinenpark kauft und sich dann wundert, warum die Dinger nicht laufen.
Schuld sind dann immer noch die anderen....
Ubuntu 9.10 (L 0.9.28 FPC 2.4.x)
u-boot
 
Beiträge: 296
Registriert: 9. Apr 2009, 09:10
Wohnort: 785..
OS, Lazarus, FPC: Ubuntu 9.10 (L 0.9.28 FPC 2.2.4) | 
CPU-Target: 32Bit
Nach oben

Beitragvon pluto » 11. Nov 2017, 12:46 Re: Trojaner in Delphi programmiert

Ich kenne schon Gründe für ein Windows. Habe auch (alte) Programme die nur unter Windows laufen. Aber eben wie Du schreibst, da gibts VM dafür.

Mein Vater nutzt Tomtom um es abzudaten braucht es leider ein Windows PC. Also hat er bei Ebay eine Liezens gekauft für Windows 7 und diese in eine VM installiert.
Weil er nutzt genau wie ich schon seit langen Linux.

Und VM laufen ja wohl auch unter Windows oder?
So könnte man den Browser zum Beispiel in einer VM laufen lassen. Mache ich zwar auch nicht aber ich bin keine Firma und ich bin mit Linux unterwegs(heißt jetzt nicht, dass es für Linux keine Viren und CO gibt, aber eben seltener..... weil die Mehrheit nutzt immer noch Windows, zum Glück für mich *G*).
MFG
Michael Springwald
Aktuelles Projekt: PlutoArduino
pluto
 
Beiträge: 6476
Registriert: 19. Nov 2006, 12:06
Wohnort: Oldenburg/Oldenburg
OS, Lazarus, FPC: Linux Mint 17.1 Rebecca | 
Nach oben

Beitragvon mschnell » 13. Nov 2017, 10:18 Re: Trojaner in Delphi programmiert

Marc hat geschrieben:Ich kenne schon Gründe für ein Windows. Habe auch (alte) Programme die nur unter Windows laufen.

Die zwingend vorgeschriebene "Elster" Programm des Finanzamts läuft soweit ich weiß (ohne Tricks) nur auf Windows.

Dass eine Deutsche Behörde damit den Kauf eines Produktes einer Amerikanischen Firma erzwingt, die schon von der EU mit Strafzahlungen belegt worden ist, finde ich ziemlich skandalös.

-Michael
mschnell
 
Beiträge: 3154
Registriert: 11. Sep 2006, 09:24
Wohnort: Krefeld
OS, Lazarus, FPC: svn (Window32, Linux x64, Linux ARM (QNAP) (cross+nativ) | 
CPU-Target: X32 / X64 / ARMv5
Nach oben

Beitragvon MacWomble » 13. Nov 2017, 10:28 Re: Trojaner in Delphi programmiert

mschnell hat geschrieben:Die zwingend vorgeschriebene "Elster" Programm des Finanzamts läuft soweit ich weiß (ohne Tricks) nur auf Windows.


Elster läuft ganz gut unter Linux, lediglich die PDF-Ausgabe ist etwas hakelig ...
Alle sagten, dass es unmöglich sei - bis einer kam und es einfach gemacht hat.
MacWomble
 
Beiträge: 363
Registriert: 17. Apr 2008, 00:59
Wohnort: Freiburg
OS, Lazarus, FPC: Mint 18.1 Cinnamon / CodeTyphon Generation V Plan 6.00 (FPC 3.1.1) | 
CPU-Target: 32/64 Nit
Nach oben

Beitragvon Timm Thaler » 13. Nov 2017, 11:00 Re: Trojaner in Delphi programmiert

Was Dir aber nix nützt, denn es gibt kein brauchbares Steuerprogramm für Linux. SteuerSparErklärung lief wohl vor ein paar Jahren mal, aber inzwischen auch nicht mehr. In Elster kannst Du nur die Daten eingeben, die Du vorher ermittelt hast.

Und sorry: "Nimm halt Windows in einer VW unter Linux" - dann kann ich auch gleich Windows nehmen.
Timm Thaler
 
Beiträge: 430
Registriert: 20. Mär 2016, 22:14
OS, Lazarus, FPC: Win7-64bit Laz1.6 FPC3.0.0, Raspbian Jessie Laz1.6 FPC3.0.0 | 
CPU-Target: Raspberry Pi 3
Nach oben

» Weitere Beiträge siehe nächste Seite »
Nächste

Zurück zu Sonstiges



Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste

porpoises-institution
accuracy-worried