24/10/2014
16:26

Attenzione al pericolo dei virus di Autocad: ALS.PasDoc-Inf.A e ALS.Bursted.G

Oggi il CRAM (centro ricerche anti-malware) si è imbattuto in una duplice infezione di script virali di Autocad.

ALS.PasDoc-Inf.A

Il virus ALS.PasDoc-Inf.A si trasmette attraverso i file .DWG di Autocad che presentano all'interno della stessa cartella il file infetto acaddoc.lsp.

Quando verrà aperto il file .DWG, Autocad andrà ad eseguire lo script contenuto nel file acaddoc.lsp

Lo script virale di ALS.PasDoc-Inf.A andrà ad infettare tutti i file .MNL e .LSP di Autocad, ad esempio acad.mnl.
Il virus cercherà la cartella dove risiede il file "acad.mnl" e infetterà tutti i file .mnl contenuti appendendo lo script virale al file.

Inoltre tutti i file .lsp contenuti all'interno della sottocartella "support" di Autocad saranno infettati da ALS.PasDoc-Inf.A.

In questo modo, quando si aprirà un file .DWG, Autocad andrà a caricare il file "acad.mnl" ed eseguire lo script virale contenuto, il quale andrà a creare il file "acaddoc.lsp" all'interno della stessa cartella che contiene il disegno di Autocad e cercherà di re-infettare tutti il file .mnl e .lsp di Autocad.

La trasmissione del virus ALS.PasDoc-Inf.A avviene da utente a utente quando viene passata l'intera cartella che contiene il progetto infetto con acaddoc.lsp e non copiando solamente il file .DWG.



ALS.Bursted.G

Il virus ALS.Bursted.G si trasmette attraverso i file .DWG di Autocad che presentano all'interno della stessa cartella il file infetto acad.lsp.
Quando verrà aperto il file .DWG, Autocad andrà ad eseguire lo script contenuto nel file acad.lsp

Lo script virale cercherà la cartella dove è memorizzato il file "base.dcl", e copierà il file acad.lsp all'interno di questa cartella con il nome "acadappp.lsp"

A questo punto apre il file "acadapp.lsp" e verifica se contiene il testo ";;;", se non lo contiene o non esiste tale file, lo crea e ci scrive ";;;".

Ora apre il file "acad.mnl" e ci appende:
(load "acadappp.lsp")
(princ)

In questo modo, quando si aprirà un file .DWG, Autocad andrà a caricare il file "acad.mnl" che andrò ad eseguire il file "acadappp.lsp".
Lo script contenuto in "acadappp.lsp" andrà a copiare se stesso con il nome "acad.lsp" all'interno della cartella del file .DWG aperto.

Infine esegue il comando startapp di Lisp sul file:
\\FS1\SYS-\WORK\PLOTER\LFCPRXY1.EDD

La trasmissione del virus ALS.Bursted.G avviene da utente a utente quando viene passata l'intera cartella che contiene il progetto infetto con acad.lsp e non copiando solamente il file .DWG.


Analisi a cura dell'ing. Gianfranco Tonello
C.R.A.M. Centro Ricerche Anti Malware by TG Soft
Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: