ESET: ACAD/Medre.A ворует файлы AutoCAD версий с 14.0 по 19.2 и отправляет в Китай

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 22 июн 2012.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Исследователи из компании ESET обнаружили ещё одну вредоносную программу, созданную для промышленного шпионажа. «Ещё одну», потому что пресловутые Duqu и Flame тоже проявляли специфический интерес к файлам AutoCAD.

    Новый зловред, получивший название ACAD/Medre.A, обнаружен на большом количестве компьютеров в Перу. Вирус инфицирует программу 3D-моделирования AutoCAD версий с 14.0 по 19.2, изменяет загрузочный файл AutoLISP (acad.lsp) и работает через скрипты, которые выполняются интерпретатором Wscript.exe, интегрированным в операционную систему Windows. На заражённых машинах червь ищет файлы AutoCAD, и отправляет их на 43 почтовых адреса, зарегистрированных на сайтах 163.com и qq.com. Это популярные сайты в Китае, так что можно сделать предположение о китайском происхождении червя.

    [​IMG]

    ACAD/Medre.A помещает добычу в запароленные RAR-архивы (пароль состоит из одного символа “1”), добавляет конфигурационный файл .DXF, после чего отправляет их по отдельности по электронной почте с 25-го порта.

    Вирус получил широкое распространение. По оценке ESET, за время работы ACAD/Medre.A сумел отправить на китайские адреса десятки тысяч AutoCAD-файлов. По крайней мере, почтовые ящики 163.com и qq.com на момент исследования были переполнены входящей корреспонденцией.

    [​IMG]

    Интересен и способ распространения вируса: он был помещён в шаблон AutoCAD на одном из авторитетных местных сайтов (более подробная информация будет опубликована позже). Жертв каким-то образом заставляли скачать этот шаблон. Судя по всему, это была таргетированная атака на какую-то конкретную компанию из Перу с целью промышленного шпионажа.

    В коде вируса уже была заготовка для будущих версий AutoCAD 2013, 2014 и 2015, так что у злоумышленников явно были далеко идущие планы.

    Источник
     
    4 пользователям это понравилось.

Поделиться этой страницей