Trojaner in Delphi programmiert

Für alles, was in den übrigen Lazarusthemen keinen Platz, aber mit Lazarus zutun hat.
Socke
Lazarusforum e. V.
Beiträge: 3158
Registriert: Di 22. Jul 2008, 19:27
OS, Lazarus, FPC: Lazarus: SVN; FPC: svn; Win 10/Linux/Raspbian/openSUSE
CPU-Target: 32bit x86 armhf
Wohnort: Köln
Kontaktdaten:

Trojaner in Delphi programmiert

Beitrag von Socke »

Hallo zusammen,

Hiermit erfährt Delphi neue populäre Aufmerksamkeit; zum Glück ist hier Delphi genannt und nicht die Sprache "Pascal".
https://www.heise.de/security/meldung/Ordinypt-Erpressungstrojaner-bedroht-deutsche-Firmen-3887249.html
Ich hoffe, dass die Virenscanner nicht auf die typischen Object-Pascal Strings in jedem Binary hereinfallen ...

Grüße
Socke
MfG Socke
Ein Gedicht braucht keinen Reim//Ich pack’ hier trotzdem einen rein

Marc
Lazarusforum e. V.
Beiträge: 208
Registriert: Fr 11. Nov 2016, 14:09
OS, Lazarus, FPC: Linux Mint 20 (WinXP VBox)
CPU-Target: 64Bit
Wohnort: Schweiz

Re: Trojaner in Delphi programmiert

Beitrag von Marc »

Wenn es wirklich mit Delphi gemacht wäre, würde es mich nicht wundern wenn es irgendwo im Code eine Seriennummer gäbe?
Bei einer so teuren Software? Ich denke die Kunden sind ja meistens registriert.

Die andere Sache ist, wie kann man sehen mit was es gemacht wurde?
Eigentlich sollte für die CPU ja nur noch der blanke Assemblercode bleiben?
Ist das nicht das unter Compiler Einstellungen -> Optimierung?
Oder eben anhand typischer Muster, die der Compiler erzeugt.
Good code comes from experience, experience comes from bad code.

relocate
Beiträge: 61
Registriert: Di 24. Jan 2012, 11:47
OS, Lazarus, FPC: Win (L- FPC 2.4.4 + 2.6.4)
CPU-Target: 32Bit

Re: Trojaner in Delphi programmiert

Beitrag von relocate »

Marc hat geschrieben:Wenn es wirklich mit Delphi gemacht wäre, würde es mich nicht wundern wenn es irgendwo im Code eine Seriennummer gäbe?
Bei einer so teuren Software? Ich denke die Kunden sind ja meistens registriert.


Wäre möglich, würde ich aber für unzulässlichen Eingriff in meine Persönlichkeitsrechte halten. D.h. nur wenn ich es auch möchte und aktiviere.

Marc hat geschrieben:Die andere Sache ist, wie kann man sehen mit was es gemacht wurde?
Eigentlich sollte für die CPU ja nur noch der blanke Assemblercode bleiben?
Ist das nicht das unter Compiler Einstellungen -> Optimierung?
Oder eben anhand typischer Muster, die der Compiler erzeugt.


Das ist was anderes, jede höhere Programmiersprache bietet Standardfunktionen, die in sogenannten Runtime Libraries gebündelt sind.
Damit hinterlässt jeder Compiler einen spezifischen Fußabdruck im Kompilat.
https://de.wikipedia.org/wiki/Laufzeitbibliothek
Würde ich die Dinge so wie alle anderen machen, hätte ich so manche Probleme nicht.

Aber das wäre langweilig.

Benutzeravatar
gladio
Beiträge: 217
Registriert: Sa 21. Jun 2014, 06:15
OS, Lazarus, FPC: Win10-64 - aktuelle Lazarus/FPC Standard-Edition
CPU-Target: 64Bit
Wohnort: Rügen

Re: Trojaner in Delphi programmiert

Beitrag von gladio »

Bei Avira gibt es z.B. viele Virendefinitionen mit Delphi im Namen:
https://www.avira.com/de/support-virus-lab?vdl%5Bsq%5D=delphi
Ob die auch in Delphi programmiert sind ....?

Benutzeravatar
af0815
Lazarusforum e. V.
Beiträge: 6197
Registriert: So 7. Jan 2007, 10:20
OS, Lazarus, FPC: FPC fixes Lazarus fixes per fpcupdeluxe (win,linux,raspi)
CPU-Target: 32Bit (64Bit)
Wohnort: Burgenland
Kontaktdaten:

Re: Trojaner in Delphi programmiert

Beitrag von af0815 »

Mit selbst kompilierten Lazarusprogrammen habe ich schon öfters 'positive false' bei Avira (und anderen) gehabt. Besonders dann wenn man was mit Strip gepackt hat.

Vor allen was unterscheidet einen Virus/Trojaner von einem normalen Programm :-) Ok, ne Konsole aufrufen und dort mal format c: angeben :-) Ist genausoviel wie ein Mail, wo ich schreibe, öffen sie bitte eine Commandofenster und geben sie format c: ein :-) (Virus für Arme und Bescheuerte).

Wenn wer einen Virus bauen will, so ist die Sprache egal. Es stellt sich eher die Frage, wie verschleiert man den am besten.

Übrigend dürfte der Virus eine uralte Masche ausnutzen, das manche BS ganz einfach dem Benutzer die Dateiextension nicht anzeigen. Und den genannten Virus durfte man sich zuerst einmal mit zip selbst auspacken. Zumindest wird das behauptet - und das klingt in unserer Gesellschaft total plausibel. Einem Peronaler wird ein zip mit 'angeblichen Unterlagen' geschickt. Der packt das aus und sieht eine pdf darinnen - nur war das halt keine .pdf, sondern eine .pdf.exe - Bingo. Keine Ahnung ob da Win10 oder ein AV schreien würde UND OB man darauf reagiert, wenn das gemeldet wird. IT WIssen und Menschenverstand gehört ja nicht zur allgemeinen Ausrüstung.

Andreas

BTW. Falls sich wer angesprochen fühlt und auf den Schlipps getreten - sorry - das obige ist unspezifischer Sarkasmus - ist also nicht persönlich.
Blöd kann man ruhig sein, nur zu Helfen muss man sich wissen (oder nachsehen in LazInfos/LazSnippets).

Benutzeravatar
m.fuchs
Lazarusforum e. V.
Beiträge: 2634
Registriert: Fr 22. Sep 2006, 19:32
OS, Lazarus, FPC: Winux (Lazarus 2.0.10, FPC 3.2.0)
CPU-Target: x86, x64, arm
Wohnort: Berlin
Kontaktdaten:

Re: Trojaner in Delphi programmiert

Beitrag von m.fuchs »

af0815 hat geschrieben:Besonders dann wenn man was mit Strip gepackt hat.

Meinst du mit Strip die Debuginfos entfernt oder ehe rmit UPX gepackt? Das letzteres Probleme macht, kann ich nachvollziehen. Ersteres allerdings nicht.
Software, Bibliotheken, Vorträge und mehr: https://www.ypa-software.de

pluto
Lazarusforum e. V.
Beiträge: 7178
Registriert: So 19. Nov 2006, 12:06
OS, Lazarus, FPC: Linux Mint 19.3
CPU-Target: AMD
Wohnort: Oldenburg(Oldenburg)

Re: Trojaner in Delphi programmiert

Beitrag von pluto »

Übrigend dürfte der Virus eine uralte Masche ausnutzen, das manche BS ganz einfach dem Benutzer die Dateiextension nicht anzeigen.

Als ich noch Windows genutzt habe, habe ich immer das als erste "Aktiviert" im Dateimanager. Das die Endungen angezeigt wird.
Brauche ich jetzt unter Linux zum Glück nicht mehr. Wobei Linux schaut ja nicht nur einfach die Endung an, sondern ermittelt eine Signatur.

Ich glaube aber, dass alle Dateimanager es nicht machen. Sicher bin ich mir aber auch nicht.

Das gemeine an diesem Trojaner ist eigentlich, dass dieser per E-Mail daher kommt(Wie auch sonst?) und wirklich täuschend echt nach einer Bewerbungs E-Mail aussieht. Wie würdet ihr reagieren?

Wobei ich mich ja frage, warum die Firmen sich nicht besser absichern? Z.B. per VM oder so... es gibt ja viele Möglichkeiten.
In einer VM öffnen, schauen was drin ist und wenn es sicher ist, kann das auf dem "Normalen" Rechner landen.

Wobei, warum nutzen Firmen dafür nicht einen eigenen Rechner? Wo alle E-Mails landen. Klar es ist mehr Aufwand und Teuer. Aber wenn durch ein Fehlverhalten alle Daten gelöscht werden, dürfte der Schaden noch mehr kosten....
MFG
Michael Springwald

Marc
Lazarusforum e. V.
Beiträge: 208
Registriert: Fr 11. Nov 2016, 14:09
OS, Lazarus, FPC: Linux Mint 20 (WinXP VBox)
CPU-Target: 64Bit
Wohnort: Schweiz

Re: Trojaner in Delphi programmiert

Beitrag von Marc »

Problem ist doch einfach das man mit gewissen Betriebssystemen nicht mehr ans Netz sollte.
Zumindest normale User nicht.

Die Firmen wissen ja ganz genau Bescheid. Aber es kostet etwas Mühe und Zeit ergo Geld. Also lässt man es.
Passiert schon nix. :-) Die müssen das wirklich auf die harte Tour lernen.
So gesehen haben Trojaner und Viren schon ihre Berechtigung. Darwin lässt grüssen.

Habe schon öfter mal Windows Rechner von Bekannten entwanzt. Ich habe tatsächlich noch keinen gesehen der nicht verseucht war!
Meist landen die Leute beim öffnen des Browsers noch nicht mal mehr bei Google sondern bei etwas das nur so ähnlich aussieht.
Einen Windows 10 Rechner fasse ich schon aus Prinzip nicht mehr an.
Wenn jemand kommt mit Problemen, dann offeriere ich nur noch ein Linux Mint zu installieren.
Entweder suchen sie sich dann einen anderen 'Experten' oder sind nachher ganz glücklich das Ruhe ist.
Zuletzt geändert von Marc am Sa 11. Nov 2017, 00:57, insgesamt 1-mal geändert.
Good code comes from experience, experience comes from bad code.

pluto
Lazarusforum e. V.
Beiträge: 7178
Registriert: So 19. Nov 2006, 12:06
OS, Lazarus, FPC: Linux Mint 19.3
CPU-Target: AMD
Wohnort: Oldenburg(Oldenburg)

Re: Trojaner in Delphi programmiert

Beitrag von pluto »

Die Firmen wissen ja ganz genau Bescheid. Aber es kostet etwas Mühe und Zeit ergo Geld. Also lässt man es.
Passiert schon nix. :-) Die müssen das wirklich auf die harte Tour lernen.
So gesehen haben Trojaner und Viren schon ihre Berechtigung. Darwin lässt grüssen.

Einige lernen daraus jedoch leider nicht. Zum Beispiel eine ganze Stadt(München).

Es mag ja gute Gründe geben, dass man Windows haben muss, z.b. wegen Programme die nicht unter Linux laufen die man unbedingt haben muss.
Die meisten sollten jedoch Problemlos Wechseln können auf Linux.

Ich denke, aber dass weicht vom Hauptthema ab.

Ich konnte mal mit einem ResEditor unter Windows, wirklich erkennen, ob es Delphi oder C war.
An den Ressourcen die Ein kompiliert wurden. Ob das immer noch so ist, weiß ich nicht.

Programme können ja sogar erkennen, ob sie in einer VM laufen...
MFG
Michael Springwald

Marc
Lazarusforum e. V.
Beiträge: 208
Registriert: Fr 11. Nov 2016, 14:09
OS, Lazarus, FPC: Linux Mint 20 (WinXP VBox)
CPU-Target: 64Bit
Wohnort: Schweiz

Re: Trojaner in Delphi programmiert

Beitrag von Marc »

München ist da kein gutes Beispiel, da München keine Firma ist. Da verbraten höchstens Steuergelder, da gibts viel von. :-)

Das ist meiner Meinung nach, ein schönes Beispiel für Lobbyarbeit. Was der Staat braucht bestimmt ja der Staat selber.

Vom letzten Trojaner 'Wanna Cry' wurde ja einige Firmen gröber erwischt. Wäre interessant zu wissen ob die was gelernt haben?
Ich bin mir fast sicher, das ja. Weil es wohl was gekostet hat? Muss nicht heissen das sie jetzt Linux verwenden aber irgendwas haben die sicher verbessert.

Ich kenne schon Gründe für ein Windows. Habe auch (alte) Programme die nur unter Windows laufen. Aber eben wie Du schreibst, da gibts VM dafür.
Good code comes from experience, experience comes from bad code.

u-boot
Beiträge: 306
Registriert: Do 9. Apr 2009, 10:10
OS, Lazarus, FPC: Ubuntu 9.10 (L 0.9.28 FPC 2.2.4)
CPU-Target: 32Bit
Wohnort: 785..

Re: Trojaner in Delphi programmiert

Beitrag von u-boot »

Marc hat geschrieben:Wäre interessant zu wissen ob die was gelernt haben?
Ich bin mir fast sicher, das ja. Weil es wohl was gekostet hat?


Sicher Leute die nach Polizei rufen wenn am Bildschirm etwas schief läuft . Was wollen die lernen ?
Sind doch immer die anderen schuldig....

Prinzipiell das gleiche, als wenn man Fehlkonstruktionen in den Maschinenpark kauft und sich dann wundert, warum die Dinger nicht laufen.
Schuld sind dann immer noch die anderen....
Ubuntu 9.10 (L 0.9.28 FPC 2.4.x)

pluto
Lazarusforum e. V.
Beiträge: 7178
Registriert: So 19. Nov 2006, 12:06
OS, Lazarus, FPC: Linux Mint 19.3
CPU-Target: AMD
Wohnort: Oldenburg(Oldenburg)

Re: Trojaner in Delphi programmiert

Beitrag von pluto »

Ich kenne schon Gründe für ein Windows. Habe auch (alte) Programme die nur unter Windows laufen. Aber eben wie Du schreibst, da gibts VM dafür.

Mein Vater nutzt Tomtom um es abzudaten braucht es leider ein Windows PC. Also hat er bei Ebay eine Liezens gekauft für Windows 7 und diese in eine VM installiert.
Weil er nutzt genau wie ich schon seit langen Linux.

Und VM laufen ja wohl auch unter Windows oder?
So könnte man den Browser zum Beispiel in einer VM laufen lassen. Mache ich zwar auch nicht aber ich bin keine Firma und ich bin mit Linux unterwegs(heißt jetzt nicht, dass es für Linux keine Viren und CO gibt, aber eben seltener..... weil die Mehrheit nutzt immer noch Windows, zum Glück für mich *G*).
MFG
Michael Springwald

mschnell
Beiträge: 3444
Registriert: Mo 11. Sep 2006, 10:24
OS, Lazarus, FPC: svn (Window32, Linux x64, Linux ARM (QNAP) (cross+nativ)
CPU-Target: X32 / X64 / ARMv5
Wohnort: Krefeld

Re: Trojaner in Delphi programmiert

Beitrag von mschnell »

Marc hat geschrieben:Ich kenne schon Gründe für ein Windows. Habe auch (alte) Programme die nur unter Windows laufen.

Die zwingend vorgeschriebene "Elster" Programm des Finanzamts läuft soweit ich weiß (ohne Tricks) nur auf Windows.

Dass eine Deutsche Behörde damit den Kauf eines Produktes einer Amerikanischen Firma erzwingt, die schon von der EU mit Strafzahlungen belegt worden ist, finde ich ziemlich skandalös.

-Michael

MacWomble
Lazarusforum e. V.
Beiträge: 999
Registriert: Do 17. Apr 2008, 01:59
OS, Lazarus, FPC: Mint 21.1 Cinnamon / FPC 3.2.2/Lazarus 2.2.4
CPU-Target: Intel i7-10750 64Bit
Wohnort: Freiburg

Re: Trojaner in Delphi programmiert

Beitrag von MacWomble »

mschnell hat geschrieben:Die zwingend vorgeschriebene "Elster" Programm des Finanzamts läuft soweit ich weiß (ohne Tricks) nur auf Windows.


Elster läuft ganz gut unter Linux, lediglich die PDF-Ausgabe ist etwas hakelig ...
Alle sagten, dass es unmöglich sei - bis einer kam und es einfach gemacht hat.

Timm Thaler
Beiträge: 1224
Registriert: So 20. Mär 2016, 22:14
OS, Lazarus, FPC: Win7-64bit Laz1.9.0 FPC3.1.1 für Win, RPi, AVR embedded
CPU-Target: Raspberry Pi 3

Re: Trojaner in Delphi programmiert

Beitrag von Timm Thaler »

Was Dir aber nix nützt, denn es gibt kein brauchbares Steuerprogramm für Linux. SteuerSparErklärung lief wohl vor ein paar Jahren mal, aber inzwischen auch nicht mehr. In Elster kannst Du nur die Daten eingeben, die Du vorher ermittelt hast.

Und sorry: "Nimm halt Windows in einer VW unter Linux" - dann kann ich auch gleich Windows nehmen.

Antworten