ACAD/Medre.A - robak przesyła pliki AutoCAD do Chin

Specjaliści firmy ESET namierzyli złośliwy kod ACAD/Medre.A, który zainfekował kilkadziesiąt tysięcy plików stworzonych za pomocą programów AutoCAD. Robak powstał najprawdopodobniej jako narzędzie szpiegujące, a wszystkie zainfekowane pliki trafiały do Chin.

Większość infekcji wykryto w Peru i najprawdopodobniej to właśnie w celu szpiegowania tamtejszych firm powstał ACAD/Medre.A. Zagrożenie trafiło do przedsiębiorstw, które realizowały zamówienia dla sektora rządowego. Firma ESET poinformowała o swoich spostrzeżeniach władze Peru.

Zagrożenie ACAD/Medre.A zostało zauważone dzięki systemowi reputacyjnemu ESET Live Grid, który jest elementem rozwiązań antywirusowych ESET. Po dokładnej analizie okazało się, że zarażone robakiem pliki były wysyłane na konta e-mail w Chinach (22 adresów pocztowych w domenie 163.com oraz 21 adresów w domenie qq.com). Firma ESET zablokowała transfer zainfekowanych plików do wspomnianych skrzynek mailowych, likwidując zagrożenie we współpracy z producentem oprogramowania AutoCAD oraz chińskim dostawcą internetu Tencent.

Zobacz również:

  • USA i państwa sojusznicze będą aktywnie walczyć z cyberprzestępczością
  • Pojawiła się nowa grupa hakerów przeprowadzająca ataki ATP

Na działanie robaka podatne są programy AutoCAD w wersjach od 14.0 do 19.2 (od AutoCAD 2000 do AutoCAD 2015) - robak modyfikuje plik acad.lsp, uruchamiany przy każdorazowym starcie programu. Eksperci ESET podejrzewają, że ACAD/Medre.A będzie mógł skutecznie infekować również kolejne wersje programu AutoCAD.

Robak przedostaje się na komputer użytkownika zwykle w katalogu z plikiem o rozszerzeniu .dwg (format w jakim AutoCAD zapisuje projekty), jako ukryty zbiór acad.fas. Otwarcie projektu, któremu towarzyszy robak, powoduje aktywację i powiązanie zagrożenia z plikiem .dwg i skopiowanie ACAD/Medre.A do kilku różnych lokalizacji. Od tego momentu każde otwarcie nowego lub istniejącego pliku AutoCAD (.dwg) skutkuje skopiowanie zagrożenia (acad.fas) do folderu, w których zapisywany jest projekt. Skopiowanie folderu z projektem i przeniesienie go na dysk innej maszyny sprawia, że w momencie otwarcia pliku .dwg infekowany jest kolejny komputer.

Zarówno ESET NOD32 Antivirus jak i ESET Smart Security chronią przed robakiem ACAD/Medre.A. ESET przygotował jednak bezpłatne narzędzie do usuwania ACAD/Medre.A. Program można pobrać ze strony firmy ESET.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200