ACAD/Medre.A infekuje pliki stworzone w AutoCAD

Przeczytaj także: ESET: groźny robak Win32/Zimuse

Zagrożenie ACAD/Medre.A wykazało niezwykłą aktywność w Peru, gdzie zostało zauważone dzięki systemowi reputacyjnemu ESET Live Grid, który jest elementem rozwiązań antywirusowych ESET. Po dokładnej analizie okazało się, że zarażone robakiem pliki były wysyłane na konta e-mail w Chinach (22 adresów pocztowych w domenie 163.com oraz 21 adresów w domenie qq.com). Firma ESET, przy współpracy z chińskim dostawcą internetu Tencent, tamtejszym centrum reagowania na incydenty związane z atakami wirusów komputerowych oraz producentem oprogramowania AutoCAD, skutecznie zablokowała transfer zainfekowanych plików do wspomnianych skrzynek mailowych. Większość infekcji wykryto w Peru i najprawdopodobniej to właśnie w celu szpiegowania tamtejszych firm powstał ACAD/Medre.A. Zagrożenie trafiło do przedsiębiorstw, które realizowały zamówienia dla sektora rządowego. Firma ESET poinformowała o swoich spostrzeżeniach władze Peru.

Na działanie zagrożenia podatne są programy AutoCAD w wersjach od 14.0 do 19.2 (od AutoCAD 2000 do AutoCAD 2015) - robak modyfikuje plik acad.lsp, uruchamiany przy każdorazowym starcie programu. Eksperci ESET podejrzewają, że ACAD/Medre.A będzie mógł skutecznie infekować również kolejne wersje programu AutoCAD.

"ACAD/Medre.A to poważny przypadek domniemanego szpiegostwa przemysłowego. Każdy nowy projekt, stworzony na zainfekowanym komputerze, był automatycznie przesyłany do twórcy zagrożenia. Nie trzeba chyba tłumaczyć z jakimi stratami finansowymi dla twórcy projektu może wiązać się sytuacja, w której cyberprzestępca zyskuje dostęp do szkicu, zanim ten wejdzie w fazę realizacji. Możliwa jest nawet sytuacja, w której cyberprzestępca, dzięki wykradzionym materiałom, zdobywa patent, zanim zrobi to prawowity twórca " – podkreśla Righard Zwienenberg, starszy analityk zagrożeń firmy ESET.
Robak przedostaje się na komputer użytkownika zwykle w katalogu z plikiem o rozszerzeniu .dwg (format w jakim AutoCAD zapisuje projekty), jako ukryty zbiór acad.fas. Otwarcie projektu, któremu towarzyszy robak, powoduje aktywację i powiązanie zagrożenia z plikiem .dwg i skopiowanie ACAD/Medre.A do kilku różnych lokalizacji. Od tego momentu każde otwarcie nowego lub istniejącego pliku AutoCAD (.dwg) skutkuje skopiowanie zagrożenia (acad.fas) do folderu, w których zapisywany jest projekt. Skopiowanie folderu z projektem i przeniesienie go na dysk innej maszyny sprawia, że w momencie otwarcia pliku .dwg infekowany jest kolejny komputer.

Zarówno ESET NOD32 Antivirus jak i ESET Smart Security chronią przed robakiem ACAD/Medre.A. Firma ESET przygotowała jednak bezpłatne narzędzie, dzięki któremu każdy potencjalnie zagrożony użytkownik może skutecznie zneutralizować ACAD/Medre.A.