A7Mの日記: Delphiのランタイムライブラリにマルウェアを仕込む"Win32.Induc" 10
日記 by
A7M
Delphi 4-7のRTLにマルウェアを仕込んで、そいつでこしらえたアプリを使うと拡散か・・・。((( ;゚Д゚)))ガクガクブルブル
これ、Delphiがターゲットだけど、理論的にはC++BuilderとかVisual C++とかもできるはず。C#やVBは必ずランタイムが必要だったはずだから問題は無さそうだけど。
これ、Delphiがターゲットだけど、理論的にはC++BuilderとかVisual C++とかもできるはず。C#やVBは必ずランタイムが必要だったはずだから問題は無さそうだけど。
この前の (スコア:1)
MSのATLの不具合を思い出します。
共有ライブラリを狙われると怖いなぁ。
# .NET Frameworkは…評価難しいですね。ただJavaVM/JRE(の標準ライブラリ)という先例がありますから、セキュリティフィックスがんばってもらうしかないか
M-FalconSky (暑いか寒い)
Re:この前の (スコア:2)
DelphiやC++Builder、VC++なんか、ランタイムのソースがついていますからね・・・。
DLL Hellが嫌だったり、C++Builderのパッケージを配布するのが面倒で、MFCやRTLをスタティックリンクするのはよくやりますので、こっそりRTLやDLLが書き換わったりしたら結構怖いです。
正直、盲点でしたけど、確か、午後のこ~だが特許か何かの関係でインストーラーがソースをコンパイルしてバイナリを生成していますから、そのどさくさに紛れてとか考えたら、夜も眠れないです。(ぉぃ
Re: (スコア:0)
だから個人的には今更な感がしないでもない。
コンパイラに仕込むなんてのも有ったしさ。
それだとコードもコンパイラ以外の環境にも何ら問題は無いが、生成したバイナリはウイルス付き。(w
Re:この前の (スコア:2)
でも手法としては昔からある代物だと思うけどなぁ。
だから個人的には今更な感がしないでもない。
コンパイラに仕込むなんてのも有ったしさ。
それだとコードもコンパイラ以外の環境にも何ら問題は無いが、生成したバイナリはウイルス付き。(w
確かにそういえば。
gccをコンパイルするときに、出来たgccで再度自分自身を生成するのは、その辺の対策もあるというのを聞いたことがあります。
まさにたった今社内でW32.Inducを検出しました (スコア:1)
ちなみに現在公式サイトで配布されているGlary Utilitiesを検証環境にインストールしてスキャン&VirusTotalに喰わせてみましたが、最新版では検出されませんでした。
これから追加調査ですよorz
Re:まさにたった今社内でW32.Inducを検出しました (スコア:2)
Embarcaderoの日本法人からもアナウンス [embarcadero.com]が出ました。
C++Builderも問題のモジュールに依存していますので、C++Builder使いの僕としても、人ごとではないです。
悪意が無くても... (スコア:0)
また、この感染方法では、ほとんどすべての環境で増殖できないでしょう。
しかし、悪意が無くても/害を及ぼさなくてもウィルススキャナで引っかかるとそれは「悪」となります。
さて。今回の件、誰がどういう目的で配布したのでしょうね。
そしてウィルス研究家にこれの存在を伝えた人は誰なんでしょうね。
Re:悪意が無くても... (スコア:2)
僕がそうなのですが、過去のアプリのメンテでVC6とXPの組み合わせから変えられないケースがありますから、この辺のレガシーな奴を狙われたらひとたまりもありません。
さて。今回の件、誰がどういう目的で配布したのでしょうね。
そしてウィルス研究家にこれの存在を伝えた人は誰なんでしょうね。
それがわかれば・・・。(;´Д`)
Delphi製のフリーウェアは未だにありますから、「将を射んとせばまず馬を射よ」ってことでRTLを乗っ取れば、後は普通に拡散するからでしょうかね・・・。
Re: (スコア:0)
CP/M の時代にすでに実証済みの技法ですがな。
Re:悪意が無くても... (スコア:2)
gnu黎明期にFTPサイトの改竄フンダララという話はありましたが、そんな昔からとは知りませんでした。orz