Форум по Delphi программированию

Delphi Sources



Вернуться   Форум по Delphi программированию > Все о Delphi > Разное
Ник
Пароль
Регистрация <<         Правила форума         >> FAQ Пользователи Календарь Поиск Сообщения за сегодня Все разделы прочитаны

Ответ
 
Опции темы Поиск в этой теме Опции просмотра
  #1  
Старый 04.12.2012, 03:08
lmikle lmikle вне форума
Модератор
 
Регистрация: 17.04.2008
Сообщения: 8,003
Версия Delphi: 7, XE3, 10.2
Репутация: 49089
По умолчанию Использует ли Delphi XE3 порт 30000

У кого стоит Delphi XE3, посмотрите у себя, использует ли сама среда порт 30.000. У меня почему-то она на этом порту слушает по UDP.

PS. Для того, что бы посмотреть открытые порты, надо из под Command Prompt, запущенного с правами администратора, выполнить команду:
Код:
netstat -a -b

PPS. Поставил Delphi XE3 Lite "на посмотреть" (ну мало мне месяца триала), вот теперь непонятно, это сама среда для чего-то этот порт использует, или там троянчик зашит...
Ответить с цитированием
  #2  
Старый 04.12.2012, 03:49
Аватар для angvelem
angvelem angvelem вне форума
.
 
Регистрация: 18.05.2011
Адрес: Омск
Сообщения: 3,970
Версия Delphi: 3,5,7,10,12,XE2
Репутация: выкл
По умолчанию

XE3 нет, в XE2 этот порт прослушивается по UDP.
__________________
Je venus de nulle part
55.026263 с.ш., 73.397636 в.д.
Ответить с цитированием
  #3  
Старый 04.12.2012, 07:55
lmikle lmikle вне форума
Модератор
 
Регистрация: 17.04.2008
Сообщения: 8,003
Версия Delphi: 7, XE3, 10.2
Репутация: 49089
По умолчанию

Цитата:
Сообщение от angvelem
XE3 нет, в XE2 этот порт прослушивается по UDP.

Хм... и что же Дельфя на этом порту слушает?..
А у тебя откуда версия?
Ответить с цитированием
  #4  
Старый 04.12.2012, 09:23
Аватар для M.A.D.M.A.N.
M.A.D.M.A.N. M.A.D.M.A.N. вне форума
Sir Richard Abramson
 
Регистрация: 05.04.2008
Сообщения: 5,505
Версия Delphi: XE10
Репутация: выкл
По умолчанию

Код:
 [svchost.exe]
  UDP    0.0.0.0:30000          *:*
 [bds.exe]
  UDP    0.0.0.0:30001          *:*
 [bds.exe]
  UDP    127.0.0.1:1900         *:*
  SSDPSRV
Цитата:
PORT 30001 – Information
Port Number: 30001
TCP / UDP: TCP
Delivery: Yes
Protocol / Name: [Malware known as ErrOr32]
Port Description: [malware info: ErrOr32]
Virus / Trojan: Yes, Caution!
Use our free Digital Footprint and Firewall Test to help verify you are not infected.

Качал с рутрекера (там вроде с оф сайта уперто).

У тебя плагины какие-то сторонние с ней стоят?
__________________
— Как тебя понимать?
— Понимать меня не обязательно. Обязательно меня любить и кормить вовремя.


На Delphi, увы, больше не программирую.
Рекомендуемая литература по программированию

Последний раз редактировалось M.A.D.M.A.N., 04.12.2012 в 09:25.
Ответить с цитированием
  #5  
Старый 04.12.2012, 20:33
lmikle lmikle вне форума
Модератор
 
Регистрация: 17.04.2008
Сообщения: 8,003
Версия Delphi: 7, XE3, 10.2
Репутация: 49089
По умолчанию

Madman,
Нет, ничего не стоит. Моя тоже примерно оттуда же (автор сборки - какой-то там китаец). Собственно, у тебя тоже открыт этот порт на прослушиваение (у тебя даже 2). Именно это и смущает. Нафига среде разработки слушать на каком-то UDP порту. Странно это. К сожалению, триал XE2 (на другой машинке стоит) уже сдох... немогу проверить открывает ли они тоже это дело...
Вообще, порт открыт только если запущена сама BDS. Вот хрен его знает что бы это все значило...
Ответить с цитированием
  #6  
Старый 04.12.2012, 21:45
Аватар для angvelem
angvelem angvelem вне форума
.
 
Регистрация: 18.05.2011
Адрес: Омск
Сообщения: 3,970
Версия Delphi: 3,5,7,10,12,XE2
Репутация: выкл
По умолчанию

Я и не помню отукда скачивал. Обещали, что полная и чистая. А так кто его знает.
__________________
Je venus de nulle part
55.026263 с.ш., 73.397636 в.д.
Ответить с цитированием
  #7  
Старый 04.12.2012, 22:46
Аватар для Vayrus
Vayrus Vayrus вне форума
Исполняемый Ретровирус
 
Регистрация: 09.08.2008
Адрес: Umbrella Corporation
Сообщения: 743
Репутация: 1293
Лампочка

ХМ, вот у меня не ломиться пока, хотя когда то лезло, щас, на всякий, заблокировал в фаерволе исходящие и входящие по 30000 порту.

Предположу, что таким образом среда проверяет валидность лицензии.
Ответить с цитированием
  #8  
Старый 04.12.2012, 23:32
Аватар для M.A.D.M.A.N.
M.A.D.M.A.N. M.A.D.M.A.N. вне форума
Sir Richard Abramson
 
Регистрация: 05.04.2008
Сообщения: 5,505
Версия Delphi: XE10
Репутация: выкл
По умолчанию

По UDP то? Он же односторонний.
__________________
— Как тебя понимать?
— Понимать меня не обязательно. Обязательно меня любить и кормить вовремя.


На Delphi, увы, больше не программирую.
Рекомендуемая литература по программированию
Ответить с цитированием
  #9  
Старый 05.12.2012, 00:54
lmikle lmikle вне форума
Модератор
 
Регистрация: 17.04.2008
Сообщения: 8,003
Версия Delphi: 7, XE3, 10.2
Репутация: 49089
По умолчанию

Ну, походу, подкладывает троянчик эта версия.
По классификации DrWeb это BackDoor.Siggen.815.
CureIt находит. Но не факт, что нет еще чего-нить...

Цитата:
Сообщение от M.A.D.M.A.N.
По UDP то? Он же односторонний.

Ну дык на прослушку ему и в одну сторону достаточно. Типа просто получить команду. А далее запустится все остальное и полезет в разные места...

Последний раз редактировалось lmikle, 05.12.2012 в 00:56.
Ответить с цитированием
  #10  
Старый 05.12.2012, 07:44
Аватар для M.A.D.M.A.N.
M.A.D.M.A.N. M.A.D.M.A.N. вне форума
Sir Richard Abramson
 
Регистрация: 05.04.2008
Сообщения: 5,505
Версия Delphi: XE10
Репутация: выкл
По умолчанию

Цитата:
Сообщение от lmikle
Ну дык на прослушку ему и в одну сторону достаточно. Типа просто получить команду. А далее запустится все остальное и полезет в разные места...
Я имел ввиду, что проверять валидность лицензии (как писал Vayrus) по UDP не удобно.
__________________
— Как тебя понимать?
— Понимать меня не обязательно. Обязательно меня любить и кормить вовремя.


На Delphi, увы, больше не программирую.
Рекомендуемая литература по программированию
Ответить с цитированием
  #11  
Старый 05.12.2012, 10:45
lmikle lmikle вне форума
Модератор
 
Регистрация: 17.04.2008
Сообщения: 8,003
Версия Delphi: 7, XE3, 10.2
Репутация: 49089
По умолчанию

Цитата:
Сообщение от M.A.D.M.A.N.
Я имел ввиду, что проверять валидность лицензии (как писал Vayrus) по UDP не удобно.

Не, вроде обнаруженные хвосты не от Дельфи. Другая прога положила файлики. Теперь вот нужен способ проверки, что машинка чистая, а то больно все еще раз переставлять не хочется. CureIt ничего не находит. Какие еще сканеры можно попробовать?..

Но вопрос "нафига среде слушать UDP порт?" все еще в силе. Я этого просто не понимаю...
Ответить с цитированием
  #12  
Старый 05.12.2012, 13:18
Аватар для Bargest
Bargest Bargest вне форума
Профессионал
 
Регистрация: 19.10.2010
Адрес: Москва
Сообщения: 2,390
Версия Delphi: XE3/VS12/FASM
Репутация: 14665
По умолчанию

Похоже на бекдор. Я бы попробовал запустить среду под идой и поставить бряк на recv/recvfrom, после чего послать туда несколько раз какие-нибудь данные.

UPD:
У меня слушает порт 30001.
Команда, которую он ждет:
"ping,COMP_NAME,y;"
COMP_NAME - имя компьютера.
Y - по всей видимости, ключ.
Если ключ не верен - при каких-то обстоятельствах выкидывает из делфы на сайт ембаркадеро. Один раз выкинуло, повторить не удалось.
Что интересно - можно добавлять новые имена компов и ключи. Если имя еще не существует, то оно добавляется.
Так что не бекдор.

Кстати вокруг этого кода много строчек типа "TLicenseInfo", "szSystemStatus", и даже где-то на ключик натыкался.
__________________
jmp $ ; Happy End!
The Cake Is A Lie.

Последний раз редактировалось Bargest, 05.12.2012 в 20:28.
Ответить с цитированием
Этот пользователь сказал Спасибо Bargest за это полезное сообщение:
poli-smen (05.12.2012)
  #13  
Старый 05.12.2012, 21:19
Аватар для Vayrus
Vayrus Vayrus вне форума
Исполняемый Ретровирус
 
Регистрация: 09.08.2008
Адрес: Umbrella Corporation
Сообщения: 743
Репутация: 1293
Смех

Попробуй FortiNet, IObit

Последний раз редактировалось Vayrus, 05.12.2012 в 21:21.
Ответить с цитированием
  #14  
Старый 05.12.2012, 21:28
lmikle lmikle вне форума
Модератор
 
Регистрация: 17.04.2008
Сообщения: 8,003
Версия Delphi: 7, XE3, 10.2
Репутация: 49089
По умолчанию

Цитата:
Сообщение от Vayrus
Попробуй FortiNet, IObit

Не совсем так. Порт любого типа (TCP|UDP) может работать как на прием, так и на передачу. Весь вопрос - как он открыт.

ЗЫ. Лицензионная Delphi XE 3 тоже слушает на этом порту, так что походу действительно контроллер лицензий. Видимо, при старте эта хрень шарашит широковещательным всем, до кого дотянется, те отвечают и соотв. принимается решение о легитимности запушенной копии.

ЗЗЫ. Как уже писал ранее, троянчина подсаживала другая программа. Походу, версия довольно старая, так что под 64-битной семеркой оно скопировалось, но не прописалось на запуск. Весь вопрос теперь только в том, как проверить, что ничего кроме этого там небыло (хотя судя по размеру дистрибутива, из которого эта гадость поставилась, места на еще одну там быть не должно).

ЗЗЗЫ. Все-таки огромные бинарники создет последняя Дельфя. Не сложный проект (правда с DevExpress) в релизе 32-бит весит 5 метров, 64-бит - 6 метров. На Delphi 7 - меньше 3,5... и то исколючительно за счет DevExpress. Убиться тапком... ап стену
Ответить с цитированием
  #15  
Старый 05.12.2012, 21:46
Аватар для M.A.D.M.A.N.
M.A.D.M.A.N. M.A.D.M.A.N. вне форума
Sir Richard Abramson
 
Регистрация: 05.04.2008
Сообщения: 5,505
Версия Delphi: XE10
Репутация: выкл
По умолчанию

21.12.12 эмбаркадеро начнет слать UDP пакеты...
__________________
— Как тебя понимать?
— Понимать меня не обязательно. Обязательно меня любить и кормить вовремя.


На Delphi, увы, больше не программирую.
Рекомендуемая литература по программированию
Ответить с цитированием
Ответ


Delphi Sources

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB-коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Часовой пояс GMT +3, время: 12:55.


 

Сайт

Форум

FAQ

RSS лента

Прочее

 

Copyright © Форум "Delphi Sources" by BrokenByte Software, 2004-2023

ВКонтакте   Facebook   Twitter