Spyware
targets AutoCAD files
26 June 2012, 11:25
Bài được đưa lên
Internet ngày: 26/06/2012
Lời
người dịch: Các trích dẫn: “Theo báo cáo, phần mềm
độc hại “ACAD/Medre.A”
gửi đi bất kỳ tệp AutoCAD đang mở nào (.dwg) tới một
địa chỉ thư điện tử được đăng ký với nhà
cung cấp dịch vụ 163.com của Trung Quốc trong một tệp
ZIP được bảo vệ bằng mật khẩu.
Nếu hệ thống có Microsoft
Outlook được cài đặt, thì
phần mềm gián điệp này cũng bao gồm tệp PST chương
trình, mà có chứa tất cả các tệp được lưu trữ
trong Outlook... Phần mềm gián
điệp này từng được phát triển trong ngôn ngữ
scripting AutoLISP tùy biến của AutoCAD và cũng sử dụng
các scripts của Visual Basic được chạy qua trình biên dịch
Wscript.exe được xây dựng trong Windows.
Phần mềm độc hại đó được kích hoạt khi các nạn
nhân mở một tệp AutoCAD được làm giả đặc biệt, và
được cho là có khả năng lây
nhiễm sang các tệp AutoCAD khác...
Các bản vẽ kỹ thuật cũng từng là các mục tiêu của
phần mềm siêu gián điệp Flame”.
Hãng chống virus ESET
đã phát hiện một trojan gửi các bản vẽ kỹ thuật của
AutoCAD tới một địa chỉ thư điện tử tại Trung Quốc.
Cho tới nay phần mềm độc hại AutoCAD dường như khá
thành công: phân tích của các nhà nghiên cứu về an ninh
các tài khoản thư điện tử được phần mềm độc hại
này sử dụng đã xác định rằng hàng chục ngàn bản vẽ
đã bị nhiễm. Có khả năng là trojan này đang được sử
dụng cho gián điệp công nghiệp.
Theo
báo cáo, phần mềm độc hại “ACAD/Medre.A”
gửi đi bất kỳ tệp AutoCAD đang mở nào (.dwg) tới một
địa chỉ thư điện tử được đăng ký với nhà cung
cấp dịch vụ 163.com của Trung Quốc trong một tệp ZIP
được bảo vệ bằng mật khẩu. Nếu hệ thống có
Microsoft Outlook được cài đặt, thì phần mềm gián điệp
này cũng bao gồm tệp PST chương trình, mà có chứa tất
cả các tệp được lưu trữ trong Outlook.
Những kẻ tấn công
đã sử dụng toognr số 43 tài khoản thư điện tử với
163.com và nhà cung cấp Trung Quốc khác, qq.com. Phần mềm
gián điệp này trực tiếp kết nối với các máy chủ
thư ra thông qua SMTP; tất cả các thông tin đăng nhập đối
với các tài khoản này được lưu trữ trong bản thân
script đó. ESET nói rằng hãng đã phối hợp với các nhà
cung cấp thư điện tử để đóng lại các tài khoản đó.
Phần
mềm gián điệp này từng được phát triển trong ngôn
ngữ scripting AutoLISP tùy biến của AutoCAD và cũng sử
dụng các scripts của Visual Basic được chạy qua trình
biên dịch Wscript.exe được xây dựng trong Windows. Phần
mềm độc hại đó được kích hoạt khi các nạn nhân mở
một tệp AutoCAD được làm giả đặc biệt, và được
cho là có khả năng lây nhiễm sang các tệp AutoCAD khác.
Theo ESET, tệp đó ban
đầu được triển khai qua một website của Peru, làm cho
phần mềm độc hại đó lây nhiễm hầu như tất cả
Peru và các quốc gia khác trong thế giới nói tiếng Tây
Ban Nha. Báo cáo chứa một đường liên kết tới một
công cụ di dời được ACAD/Medre; ESET nói rằng phần mềm
gián điệp đó đã được một số chương trình AV dò
tìm ra.
Các bản vẽ kỹ
thuật cũng từng là các mục tiêu của phần mềm siêu
gián điệp Flame. Dù, không giống như các mẫu phần mềm
độc hại hiện hành, Flame từng được phát triển đặc
biệt để gián điệp các mục tiêu tại Trung Đông và đã
có vô số các mẹo mực khác bên trong, ví dụ, triển
khai thông qua các cập nhật giả Windows.
Anti-virus
firm ESET has
discovered
a trojan that sends AutoCAD technical drawings to an email address in
China. So far the AutoCAD spyware appears to have been quite
successful: the security researchers' analysis of the email accounts
used by the malware determined that tens of thousands of drawings had
been acquired. Its likely that the trojan is being used for
industrial espionage.
According
to the report, the "ACAD/Medre.A"
malware sends any opened AutoCAD files (.dwg) to an email address
registered with Chinese provider 163.com in a password-protected ZIP
file. If the system has Microsoft Outlook installed, the spyware also
includes the program's PST file, which contains all files that are
stored in Outlook.
The
attackers used a total of 43 email accounts with 163.com and another
Chinese provider, qq.com. The spyware directly communicated with the
outgoing mail servers via SMTP; all of the login credentials for
these accounts were stored in the script itself. ESET said that it
has cooperated with the email providers to close down the accounts.
The
spyware was developed in AutoCAD's custom AutoLISP
scripting language and also uses Visual Basic scripts that are
executed via the Wscript.exe interpreter built into Windows. The
malware is activated when victims open a specially crafted AutoCAD
file, and is thought to be capable of infecting other AutoCAD files.
According
to ESET, the file was primarily deployed via a Peruvian web site,
causing the malware to almost exclusively affect Peru and other
countries in the Spanish-speaking world. The report contains a link
to an ACAD/Medre.A removal tool; ESET says that the spyware is
already detected by some AV programs.
Technical
drawings were also among the targets of the Flame
super spyware. Unlike the current malware sample, however, Flame was
specifically developed to spy on targets in the Middle East and had
numerous other tricks up its sleeve, for example, deployment
via bogus Windows updates.
(crve)
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.