Программисты из компании ESET нашли ещё одну вредоносную программу, созданную для промышленного шпионажа. "Ещё одну", так как пресловутые Duqu и Flame также проявляли специфический интерес к файлам AUTOCAD.Новый зловред, получивший наименование ACAD/Medre.A, обнаружен на большом числе компьютеров в Перу. Вирус инфицирует программу 3d-моделирования AUTOCAD версий с 14.0 по 19.2, изменяет загрузочный файл AUTOLISP (acad.lsp) и работает ч/з скрипты, которые выполняются интерпретатором Wscript.exe, интегрированным в операционную систему Windows. На инфицированных машинах червь разыскивает файлы AUTOCAD, и отправляет их на 43 почтовых адреса, зарегистрированных на сайтах 163.com и qq.com. Это популярные сайты в Китае, так что возможно сделать предположение о китайском происхождении червя.
В коде вируса уже была заготовка для будущих версий AUTOCAD 2013, 2014 и 2015, так что у злоумышленников явно были далеко идущие планы.
ACAD/Medre.A помещает добычу в запароленные RAR-архивы (пароль состоит из одного знака "1"), добавляет конфигурационный файл .DXF, затем отправляет их по отдельности по email с 25-го порта.
Вирус заполучил широкое распространение. По оценке ESET, за время работы ACAD/Medre.A смог отослать на китайские адреса десятки тыс. AUTOCAD-файлов. По крайней мере, почтовые ящики 163.com и qq.com на миг исследования были переполнены входящей корреспонденцией.Любопытен и метод распространения вируса: он был помещён в шаблон AUTOCAD на одном из авторитетных местных сайтов (более подробная информация будет опубликована позднее). Жертв каким-то образом заставляли скачать этот шаблон. Видимо, это была таргетированная атака на какую-то конкретную компанию из Перу с целью промышленного шпионажа.
Programmers from company ESET have found one more harmful program created for industrial espionage. "One more" as notorious Duqu and Flame also showed specific interest to files AUTOCAD.
New зловред, received name ACAD/Medre. A, it is found out on a great number of computers in Peru. The virus infects the program of 3d-modelling AUTOCAD of versions with 14.0 on 19.2, changes loading file AUTOLISP (acad.lsp) and works ч/з scripts which are carried out by the interpreter Wscript.exe, integrated into operating system Windows. By the infected cars the worm searches for files AUTOCAD, and sends them on 43 mailing addresses registered on sites 163.com and qq.com. These are popular sites in China so probably to make the assumption of the Chinese origin of a worm.
In a virus code already there was a preparation for the future versions AUTOCAD 2013, 2014 and 2015 so malefactors obviously had far-reaching plans.
ACAD/Medre. A places extraction in запароленные RAR-archives (the password consists of one sign "1"), adds a configuration file.DXF, then sends them separately on email from 25th port.
The virus has caught a wide circulation. According to ESET, for operating time ACAD/Medre. A could send on Chinese address ten thousands AUTOCAD-files. At least, mail boxes 163.com and qq.com for a research instant have been overflowed by incoming documents. The method of distribution of a virus is curious also: it has been placed in template AUTOCAD on one of authoritative local sites (more detailed information will be published later). Victims somehow forced to download this template. Probably, it was таргетированная attack to any concrete company from Peru for the purpose of industrial espionage.
Теги: взлом,хакеры,кракозябр,krakoziaber,безопасность,защита информации, антивирус
Комментариев нет:
Отправить комментарий