ACAD/Medre.A - robak przesyła pliki AutoCAD do Chin
-
- NetWorld Online JCH,
- 22.06.2012, godz. 14:42
Specjaliści firmy ESET namierzyli złośliwy kod ACAD/Medre.A, który zainfekował kilkadziesiąt tysięcy plików stworzonych za pomocą programów AutoCAD. Robak powstał najprawdopodobniej jako narzędzie szpiegujące, a wszystkie zainfekowane pliki trafiały do Chin.
ACAD/Medre.A
Zobacz też:
Zagrożenie ACAD/Medre.A zostało zauważone dzięki systemowi reputacyjnemu ESET Live Grid, który jest elementem rozwiązań antywirusowych ESET. Po dokładnej analizie okazało się, że zarażone robakiem pliki były wysyłane na konta e-mail w Chinach (22 adresów pocztowych w domenie 163.com oraz 21 adresów w domenie qq.com). Firma ESET zablokowała transfer zainfekowanych plików do wspomnianych skrzynek mailowych, likwidując zagrożenie we współpracy z producentem oprogramowania AutoCAD oraz chińskim dostawcą internetu Tencent.
Zobacz również:
- Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
- Bezpieczna miłość w sieci
Na działanie robaka podatne są programy AutoCAD w wersjach od 14.0 do 19.2 (od AutoCAD 2000 do AutoCAD 2015) - robak modyfikuje plik acad.lsp, uruchamiany przy każdorazowym starcie programu. Eksperci ESET podejrzewają, że ACAD/Medre.A będzie mógł skutecznie infekować również kolejne wersje programu AutoCAD.
Robak przedostaje się na komputer użytkownika zwykle w katalogu z plikiem o rozszerzeniu .dwg (format w jakim AutoCAD zapisuje projekty), jako ukryty zbiór acad.fas. Otwarcie projektu, któremu towarzyszy robak, powoduje aktywację i powiązanie zagrożenia z plikiem .dwg i skopiowanie ACAD/Medre.A do kilku różnych lokalizacji. Od tego momentu każde otwarcie nowego lub istniejącego pliku AutoCAD (.dwg) skutkuje skopiowanie zagrożenia (acad.fas) do folderu, w których zapisywany jest projekt. Skopiowanie folderu z projektem i przeniesienie go na dysk innej maszyny sprawia, że w momencie otwarcia pliku .dwg infekowany jest kolejny komputer.
Zarówno ESET NOD32 Antivirus jak i ESET Smart Security chronią przed robakiem ACAD/Medre.A. ESET przygotował jednak bezpłatne narzędzie do usuwania ACAD/Medre.A. Program można pobrać ze strony firmy ESET.
