パスワードを忘れた? アカウント作成
133924 journal

A7Mの日記: Delphiのランタイムライブラリにマルウェアを仕込む"Win32.Induc" 10

日記 by A7M
Delphi 4-7のRTLにマルウェアを仕込んで、そいつでこしらえたアプリを使うと拡散か・・・。((( ;゚Д゚)))ガクガクブルブル
これ、Delphiがターゲットだけど、理論的にはC++BuilderとかVisual C++とかもできるはず。C#やVBは必ずランタイムが必要だったはずだから問題は無さそうだけど。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • MSのATLの不具合を思い出します。

    共有ライブラリを狙われると怖いなぁ。

    # .NET Frameworkは…評価難しいですね。ただJavaVM/JRE(の標準ライブラリ)という先例がありますから、セキュリティフィックスがんばってもらうしかないか

    --
    M-FalconSky (暑いか寒い)
    • by A7M (259) on 2009年08月20日 16時02分 (#1626294) ホームページ 日記

      DelphiやC++Builder、VC++なんか、ランタイムのソースがついていますからね・・・。
      DLL Hellが嫌だったり、C++Builderのパッケージを配布するのが面倒で、MFCやRTLをスタティックリンクするのはよくやりますので、こっそりRTLやDLLが書き換わったりしたら結構怖いです。

      正直、盲点でしたけど、確か、午後のこ~だが特許か何かの関係でインストーラーがソースをコンパイルしてバイナリを生成していますから、そのどさくさに紛れてとか考えたら、夜も眠れないです。(ぉぃ

      親コメント
      • by Anonymous Coward
        でも手法としては昔からある代物だと思うけどなぁ。
        だから個人的には今更な感がしないでもない。
        コンパイラに仕込むなんてのも有ったしさ。
        それだとコードもコンパイラ以外の環境にも何ら問題は無いが、生成したバイナリはウイルス付き。(w
        • by A7M (259) on 2009年08月20日 20時15分 (#1626458) ホームページ 日記

          でも手法としては昔からある代物だと思うけどなぁ。
          だから個人的には今更な感がしないでもない。
          コンパイラに仕込むなんてのも有ったしさ。
          それだとコードもコンパイラ以外の環境にも何ら問題は無いが、生成したバイナリはウイルス付き。(w

          確かにそういえば。
          gccをコンパイルするときに、出来たgccで再度自分自身を生成するのは、その辺の対策もあるというのを聞いたことがあります。

          親コメント
  • ユーザーが「Glary Utilities」をインストールしており、その中のいくつかのファイルが『「W32.Induc」に感染済み』という検出結果が出ました。
    ちなみに現在公式サイトで配布されているGlary Utilitiesを検証環境にインストールしてスキャン&VirusTotalに喰わせてみましたが、最新版では検出されませんでした。

    これから追加調査ですよorz
  • by Anonymous Coward on 2009年08月20日 14時24分 (#1626238)
    まず、現時点で知られている感染コードに「悪意」はありません。
    また、この感染方法では、ほとんどすべての環境で増殖できないでしょう。

    しかし、悪意が無くても/害を及ぼさなくてもウィルススキャナで引っかかるとそれは「悪」となります。

    さて。今回の件、誰がどういう目的で配布したのでしょうね。
    そしてウィルス研究家にこれの存在を伝えた人は誰なんでしょうね。
    • でも、「やれる」ということが実証されてしまった訳ですから、次のターゲットは、VC++でしょう。
      僕がそうなのですが、過去のアプリのメンテでVC6とXPの組み合わせから変えられないケースがありますから、この辺のレガシーな奴を狙われたらひとたまりもありません。

      さて。今回の件、誰がどういう目的で配布したのでしょうね。
      そしてウィルス研究家にこれの存在を伝えた人は誰なんでしょうね。

      それがわかれば・・・。(;´Д`)
      Delphi製のフリーウェアは未だにありますから、「将を射んとせばまず馬を射よ」ってことでRTLを乗っ取れば、後は普通に拡散するからでしょうかね・・・。

      親コメント
typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...