Trojaner in Delphi programmiert
-
- Lazarusforum e. V.
- Beiträge: 3158
- Registriert: Di 22. Jul 2008, 19:27
- OS, Lazarus, FPC: Lazarus: SVN; FPC: svn; Win 10/Linux/Raspbian/openSUSE
- CPU-Target: 32bit x86 armhf
- Wohnort: Köln
- Kontaktdaten:
Trojaner in Delphi programmiert
Hallo zusammen,
Hiermit erfährt Delphi neue populäre Aufmerksamkeit; zum Glück ist hier Delphi genannt und nicht die Sprache "Pascal".
https://www.heise.de/security/meldung/Ordinypt-Erpressungstrojaner-bedroht-deutsche-Firmen-3887249.html
Ich hoffe, dass die Virenscanner nicht auf die typischen Object-Pascal Strings in jedem Binary hereinfallen ...
Grüße
Socke
Hiermit erfährt Delphi neue populäre Aufmerksamkeit; zum Glück ist hier Delphi genannt und nicht die Sprache "Pascal".
https://www.heise.de/security/meldung/Ordinypt-Erpressungstrojaner-bedroht-deutsche-Firmen-3887249.html
Ich hoffe, dass die Virenscanner nicht auf die typischen Object-Pascal Strings in jedem Binary hereinfallen ...
Grüße
Socke
MfG Socke
Ein Gedicht braucht keinen Reim//Ich pack’ hier trotzdem einen rein
Ein Gedicht braucht keinen Reim//Ich pack’ hier trotzdem einen rein
-
- Lazarusforum e. V.
- Beiträge: 208
- Registriert: Fr 11. Nov 2016, 14:09
- OS, Lazarus, FPC: Linux Mint 20 (WinXP VBox)
- CPU-Target: 64Bit
- Wohnort: Schweiz
Re: Trojaner in Delphi programmiert
Wenn es wirklich mit Delphi gemacht wäre, würde es mich nicht wundern wenn es irgendwo im Code eine Seriennummer gäbe?
Bei einer so teuren Software? Ich denke die Kunden sind ja meistens registriert.
Die andere Sache ist, wie kann man sehen mit was es gemacht wurde?
Eigentlich sollte für die CPU ja nur noch der blanke Assemblercode bleiben?
Ist das nicht das unter Compiler Einstellungen -> Optimierung?
Oder eben anhand typischer Muster, die der Compiler erzeugt.
Bei einer so teuren Software? Ich denke die Kunden sind ja meistens registriert.
Die andere Sache ist, wie kann man sehen mit was es gemacht wurde?
Eigentlich sollte für die CPU ja nur noch der blanke Assemblercode bleiben?
Ist das nicht das unter Compiler Einstellungen -> Optimierung?
Oder eben anhand typischer Muster, die der Compiler erzeugt.
Good code comes from experience, experience comes from bad code.
-
- Beiträge: 61
- Registriert: Di 24. Jan 2012, 11:47
- OS, Lazarus, FPC: Win (L- FPC 2.4.4 + 2.6.4)
- CPU-Target: 32Bit
Re: Trojaner in Delphi programmiert
Marc hat geschrieben:Wenn es wirklich mit Delphi gemacht wäre, würde es mich nicht wundern wenn es irgendwo im Code eine Seriennummer gäbe?
Bei einer so teuren Software? Ich denke die Kunden sind ja meistens registriert.
Wäre möglich, würde ich aber für unzulässlichen Eingriff in meine Persönlichkeitsrechte halten. D.h. nur wenn ich es auch möchte und aktiviere.
Marc hat geschrieben:Die andere Sache ist, wie kann man sehen mit was es gemacht wurde?
Eigentlich sollte für die CPU ja nur noch der blanke Assemblercode bleiben?
Ist das nicht das unter Compiler Einstellungen -> Optimierung?
Oder eben anhand typischer Muster, die der Compiler erzeugt.
Das ist was anderes, jede höhere Programmiersprache bietet Standardfunktionen, die in sogenannten Runtime Libraries gebündelt sind.
Damit hinterlässt jeder Compiler einen spezifischen Fußabdruck im Kompilat.
https://de.wikipedia.org/wiki/Laufzeitbibliothek
Würde ich die Dinge so wie alle anderen machen, hätte ich so manche Probleme nicht.
Aber das wäre langweilig.
Aber das wäre langweilig.
- gladio
- Beiträge: 217
- Registriert: Sa 21. Jun 2014, 06:15
- OS, Lazarus, FPC: Win10-64 - aktuelle Lazarus/FPC Standard-Edition
- CPU-Target: 64Bit
- Wohnort: Rügen
Re: Trojaner in Delphi programmiert
Bei Avira gibt es z.B. viele Virendefinitionen mit Delphi im Namen:
https://www.avira.com/de/support-virus-lab?vdl%5Bsq%5D=delphi
Ob die auch in Delphi programmiert sind ....?
https://www.avira.com/de/support-virus-lab?vdl%5Bsq%5D=delphi
Ob die auch in Delphi programmiert sind ....?
- af0815
- Lazarusforum e. V.
- Beiträge: 6200
- Registriert: So 7. Jan 2007, 10:20
- OS, Lazarus, FPC: FPC fixes Lazarus fixes per fpcupdeluxe (win,linux,raspi)
- CPU-Target: 32Bit (64Bit)
- Wohnort: Burgenland
- Kontaktdaten:
Re: Trojaner in Delphi programmiert
Mit selbst kompilierten Lazarusprogrammen habe ich schon öfters 'positive false' bei Avira (und anderen) gehabt. Besonders dann wenn man was mit Strip gepackt hat.
Vor allen was unterscheidet einen Virus/Trojaner von einem normalen Programm Ok, ne Konsole aufrufen und dort mal format c: angeben Ist genausoviel wie ein Mail, wo ich schreibe, öffen sie bitte eine Commandofenster und geben sie format c: ein (Virus für Arme und Bescheuerte).
Wenn wer einen Virus bauen will, so ist die Sprache egal. Es stellt sich eher die Frage, wie verschleiert man den am besten.
Übrigend dürfte der Virus eine uralte Masche ausnutzen, das manche BS ganz einfach dem Benutzer die Dateiextension nicht anzeigen. Und den genannten Virus durfte man sich zuerst einmal mit zip selbst auspacken. Zumindest wird das behauptet - und das klingt in unserer Gesellschaft total plausibel. Einem Peronaler wird ein zip mit 'angeblichen Unterlagen' geschickt. Der packt das aus und sieht eine pdf darinnen - nur war das halt keine .pdf, sondern eine .pdf.exe - Bingo. Keine Ahnung ob da Win10 oder ein AV schreien würde UND OB man darauf reagiert, wenn das gemeldet wird. IT WIssen und Menschenverstand gehört ja nicht zur allgemeinen Ausrüstung.
Andreas
BTW. Falls sich wer angesprochen fühlt und auf den Schlipps getreten - sorry - das obige ist unspezifischer Sarkasmus - ist also nicht persönlich.
Vor allen was unterscheidet einen Virus/Trojaner von einem normalen Programm Ok, ne Konsole aufrufen und dort mal format c: angeben Ist genausoviel wie ein Mail, wo ich schreibe, öffen sie bitte eine Commandofenster und geben sie format c: ein (Virus für Arme und Bescheuerte).
Wenn wer einen Virus bauen will, so ist die Sprache egal. Es stellt sich eher die Frage, wie verschleiert man den am besten.
Übrigend dürfte der Virus eine uralte Masche ausnutzen, das manche BS ganz einfach dem Benutzer die Dateiextension nicht anzeigen. Und den genannten Virus durfte man sich zuerst einmal mit zip selbst auspacken. Zumindest wird das behauptet - und das klingt in unserer Gesellschaft total plausibel. Einem Peronaler wird ein zip mit 'angeblichen Unterlagen' geschickt. Der packt das aus und sieht eine pdf darinnen - nur war das halt keine .pdf, sondern eine .pdf.exe - Bingo. Keine Ahnung ob da Win10 oder ein AV schreien würde UND OB man darauf reagiert, wenn das gemeldet wird. IT WIssen und Menschenverstand gehört ja nicht zur allgemeinen Ausrüstung.
Andreas
BTW. Falls sich wer angesprochen fühlt und auf den Schlipps getreten - sorry - das obige ist unspezifischer Sarkasmus - ist also nicht persönlich.
Blöd kann man ruhig sein, nur zu Helfen muss man sich wissen (oder nachsehen in LazInfos/LazSnippets).
- m.fuchs
- Lazarusforum e. V.
- Beiträge: 2636
- Registriert: Fr 22. Sep 2006, 19:32
- OS, Lazarus, FPC: Winux (Lazarus 2.0.10, FPC 3.2.0)
- CPU-Target: x86, x64, arm
- Wohnort: Berlin
- Kontaktdaten:
Re: Trojaner in Delphi programmiert
af0815 hat geschrieben:Besonders dann wenn man was mit Strip gepackt hat.
Meinst du mit Strip die Debuginfos entfernt oder ehe rmit UPX gepackt? Das letzteres Probleme macht, kann ich nachvollziehen. Ersteres allerdings nicht.
Software, Bibliotheken, Vorträge und mehr: https://www.ypa-software.de
-
- Lazarusforum e. V.
- Beiträge: 7178
- Registriert: So 19. Nov 2006, 12:06
- OS, Lazarus, FPC: Linux Mint 19.3
- CPU-Target: AMD
- Wohnort: Oldenburg(Oldenburg)
Re: Trojaner in Delphi programmiert
Übrigend dürfte der Virus eine uralte Masche ausnutzen, das manche BS ganz einfach dem Benutzer die Dateiextension nicht anzeigen.
Als ich noch Windows genutzt habe, habe ich immer das als erste "Aktiviert" im Dateimanager. Das die Endungen angezeigt wird.
Brauche ich jetzt unter Linux zum Glück nicht mehr. Wobei Linux schaut ja nicht nur einfach die Endung an, sondern ermittelt eine Signatur.
Ich glaube aber, dass alle Dateimanager es nicht machen. Sicher bin ich mir aber auch nicht.
Das gemeine an diesem Trojaner ist eigentlich, dass dieser per E-Mail daher kommt(Wie auch sonst?) und wirklich täuschend echt nach einer Bewerbungs E-Mail aussieht. Wie würdet ihr reagieren?
Wobei ich mich ja frage, warum die Firmen sich nicht besser absichern? Z.B. per VM oder so... es gibt ja viele Möglichkeiten.
In einer VM öffnen, schauen was drin ist und wenn es sicher ist, kann das auf dem "Normalen" Rechner landen.
Wobei, warum nutzen Firmen dafür nicht einen eigenen Rechner? Wo alle E-Mails landen. Klar es ist mehr Aufwand und Teuer. Aber wenn durch ein Fehlverhalten alle Daten gelöscht werden, dürfte der Schaden noch mehr kosten....
MFG
Michael Springwald
Michael Springwald
-
- Lazarusforum e. V.
- Beiträge: 208
- Registriert: Fr 11. Nov 2016, 14:09
- OS, Lazarus, FPC: Linux Mint 20 (WinXP VBox)
- CPU-Target: 64Bit
- Wohnort: Schweiz
Re: Trojaner in Delphi programmiert
Problem ist doch einfach das man mit gewissen Betriebssystemen nicht mehr ans Netz sollte.
Zumindest normale User nicht.
Die Firmen wissen ja ganz genau Bescheid. Aber es kostet etwas Mühe und Zeit ergo Geld. Also lässt man es.
Passiert schon nix. Die müssen das wirklich auf die harte Tour lernen.
So gesehen haben Trojaner und Viren schon ihre Berechtigung. Darwin lässt grüssen.
Habe schon öfter mal Windows Rechner von Bekannten entwanzt. Ich habe tatsächlich noch keinen gesehen der nicht verseucht war!
Meist landen die Leute beim öffnen des Browsers noch nicht mal mehr bei Google sondern bei etwas das nur so ähnlich aussieht.
Einen Windows 10 Rechner fasse ich schon aus Prinzip nicht mehr an.
Wenn jemand kommt mit Problemen, dann offeriere ich nur noch ein Linux Mint zu installieren.
Entweder suchen sie sich dann einen anderen 'Experten' oder sind nachher ganz glücklich das Ruhe ist.
Zumindest normale User nicht.
Die Firmen wissen ja ganz genau Bescheid. Aber es kostet etwas Mühe und Zeit ergo Geld. Also lässt man es.
Passiert schon nix. Die müssen das wirklich auf die harte Tour lernen.
So gesehen haben Trojaner und Viren schon ihre Berechtigung. Darwin lässt grüssen.
Habe schon öfter mal Windows Rechner von Bekannten entwanzt. Ich habe tatsächlich noch keinen gesehen der nicht verseucht war!
Meist landen die Leute beim öffnen des Browsers noch nicht mal mehr bei Google sondern bei etwas das nur so ähnlich aussieht.
Einen Windows 10 Rechner fasse ich schon aus Prinzip nicht mehr an.
Wenn jemand kommt mit Problemen, dann offeriere ich nur noch ein Linux Mint zu installieren.
Entweder suchen sie sich dann einen anderen 'Experten' oder sind nachher ganz glücklich das Ruhe ist.
Zuletzt geändert von Marc am Sa 11. Nov 2017, 00:57, insgesamt 1-mal geändert.
Good code comes from experience, experience comes from bad code.
-
- Lazarusforum e. V.
- Beiträge: 7178
- Registriert: So 19. Nov 2006, 12:06
- OS, Lazarus, FPC: Linux Mint 19.3
- CPU-Target: AMD
- Wohnort: Oldenburg(Oldenburg)
Re: Trojaner in Delphi programmiert
Die Firmen wissen ja ganz genau Bescheid. Aber es kostet etwas Mühe und Zeit ergo Geld. Also lässt man es.
Passiert schon nix. Die müssen das wirklich auf die harte Tour lernen.
So gesehen haben Trojaner und Viren schon ihre Berechtigung. Darwin lässt grüssen.
Einige lernen daraus jedoch leider nicht. Zum Beispiel eine ganze Stadt(München).
Es mag ja gute Gründe geben, dass man Windows haben muss, z.b. wegen Programme die nicht unter Linux laufen die man unbedingt haben muss.
Die meisten sollten jedoch Problemlos Wechseln können auf Linux.
Ich denke, aber dass weicht vom Hauptthema ab.
Ich konnte mal mit einem ResEditor unter Windows, wirklich erkennen, ob es Delphi oder C war.
An den Ressourcen die Ein kompiliert wurden. Ob das immer noch so ist, weiß ich nicht.
Programme können ja sogar erkennen, ob sie in einer VM laufen...
MFG
Michael Springwald
Michael Springwald
-
- Lazarusforum e. V.
- Beiträge: 208
- Registriert: Fr 11. Nov 2016, 14:09
- OS, Lazarus, FPC: Linux Mint 20 (WinXP VBox)
- CPU-Target: 64Bit
- Wohnort: Schweiz
Re: Trojaner in Delphi programmiert
München ist da kein gutes Beispiel, da München keine Firma ist. Da verbraten höchstens Steuergelder, da gibts viel von.
Das ist meiner Meinung nach, ein schönes Beispiel für Lobbyarbeit. Was der Staat braucht bestimmt ja der Staat selber.
Vom letzten Trojaner 'Wanna Cry' wurde ja einige Firmen gröber erwischt. Wäre interessant zu wissen ob die was gelernt haben?
Ich bin mir fast sicher, das ja. Weil es wohl was gekostet hat? Muss nicht heissen das sie jetzt Linux verwenden aber irgendwas haben die sicher verbessert.
Ich kenne schon Gründe für ein Windows. Habe auch (alte) Programme die nur unter Windows laufen. Aber eben wie Du schreibst, da gibts VM dafür.
Das ist meiner Meinung nach, ein schönes Beispiel für Lobbyarbeit. Was der Staat braucht bestimmt ja der Staat selber.
Vom letzten Trojaner 'Wanna Cry' wurde ja einige Firmen gröber erwischt. Wäre interessant zu wissen ob die was gelernt haben?
Ich bin mir fast sicher, das ja. Weil es wohl was gekostet hat? Muss nicht heissen das sie jetzt Linux verwenden aber irgendwas haben die sicher verbessert.
Ich kenne schon Gründe für ein Windows. Habe auch (alte) Programme die nur unter Windows laufen. Aber eben wie Du schreibst, da gibts VM dafür.
Good code comes from experience, experience comes from bad code.
-
- Beiträge: 306
- Registriert: Do 9. Apr 2009, 10:10
- OS, Lazarus, FPC: Ubuntu 9.10 (L 0.9.28 FPC 2.2.4)
- CPU-Target: 32Bit
- Wohnort: 785..
Re: Trojaner in Delphi programmiert
Marc hat geschrieben:Wäre interessant zu wissen ob die was gelernt haben?
Ich bin mir fast sicher, das ja. Weil es wohl was gekostet hat?
Sicher Leute die nach Polizei rufen wenn am Bildschirm etwas schief läuft . Was wollen die lernen ?
Sind doch immer die anderen schuldig....
Prinzipiell das gleiche, als wenn man Fehlkonstruktionen in den Maschinenpark kauft und sich dann wundert, warum die Dinger nicht laufen.
Schuld sind dann immer noch die anderen....
Ubuntu 9.10 (L 0.9.28 FPC 2.4.x)
-
- Lazarusforum e. V.
- Beiträge: 7178
- Registriert: So 19. Nov 2006, 12:06
- OS, Lazarus, FPC: Linux Mint 19.3
- CPU-Target: AMD
- Wohnort: Oldenburg(Oldenburg)
Re: Trojaner in Delphi programmiert
Ich kenne schon Gründe für ein Windows. Habe auch (alte) Programme die nur unter Windows laufen. Aber eben wie Du schreibst, da gibts VM dafür.
Mein Vater nutzt Tomtom um es abzudaten braucht es leider ein Windows PC. Also hat er bei Ebay eine Liezens gekauft für Windows 7 und diese in eine VM installiert.
Weil er nutzt genau wie ich schon seit langen Linux.
Und VM laufen ja wohl auch unter Windows oder?
So könnte man den Browser zum Beispiel in einer VM laufen lassen. Mache ich zwar auch nicht aber ich bin keine Firma und ich bin mit Linux unterwegs(heißt jetzt nicht, dass es für Linux keine Viren und CO gibt, aber eben seltener..... weil die Mehrheit nutzt immer noch Windows, zum Glück für mich *G*).
MFG
Michael Springwald
Michael Springwald
-
- Beiträge: 3444
- Registriert: Mo 11. Sep 2006, 10:24
- OS, Lazarus, FPC: svn (Window32, Linux x64, Linux ARM (QNAP) (cross+nativ)
- CPU-Target: X32 / X64 / ARMv5
- Wohnort: Krefeld
Re: Trojaner in Delphi programmiert
Marc hat geschrieben:Ich kenne schon Gründe für ein Windows. Habe auch (alte) Programme die nur unter Windows laufen.
Die zwingend vorgeschriebene "Elster" Programm des Finanzamts läuft soweit ich weiß (ohne Tricks) nur auf Windows.
Dass eine Deutsche Behörde damit den Kauf eines Produktes einer Amerikanischen Firma erzwingt, die schon von der EU mit Strafzahlungen belegt worden ist, finde ich ziemlich skandalös.
-Michael
-
- Lazarusforum e. V.
- Beiträge: 999
- Registriert: Do 17. Apr 2008, 01:59
- OS, Lazarus, FPC: Mint 21.1 Cinnamon / FPC 3.2.2/Lazarus 2.2.4
- CPU-Target: Intel i7-10750 64Bit
- Wohnort: Freiburg
Re: Trojaner in Delphi programmiert
mschnell hat geschrieben:Die zwingend vorgeschriebene "Elster" Programm des Finanzamts läuft soweit ich weiß (ohne Tricks) nur auf Windows.
Elster läuft ganz gut unter Linux, lediglich die PDF-Ausgabe ist etwas hakelig ...
Alle sagten, dass es unmöglich sei - bis einer kam und es einfach gemacht hat.
-
- Beiträge: 1224
- Registriert: So 20. Mär 2016, 22:14
- OS, Lazarus, FPC: Win7-64bit Laz1.9.0 FPC3.1.1 für Win, RPi, AVR embedded
- CPU-Target: Raspberry Pi 3
Re: Trojaner in Delphi programmiert
Was Dir aber nix nützt, denn es gibt kein brauchbares Steuerprogramm für Linux. SteuerSparErklärung lief wohl vor ein paar Jahren mal, aber inzwischen auch nicht mehr. In Elster kannst Du nur die Daten eingeben, die Du vorher ermittelt hast.
Und sorry: "Nimm halt Windows in einer VW unter Linux" - dann kann ich auch gleich Windows nehmen.
Und sorry: "Nimm halt Windows in einer VW unter Linux" - dann kann ich auch gleich Windows nehmen.