BURSTED : Viejo congenere que afecta a usuarios de AUTOCAD

Publicado el 15 noviembre 2010 ¬ 11:33 amh.mscComentarios desactivados en BURSTED : Viejo congenere que afecta a usuarios de AUTOCAD

Nos ha llegado una muestra de un malware que ya era conocido hace 4 años en VSANTIVIRUS (ya no operativo) donde vemos:

“Virus escrito para el lenguaje AutoLISP de AutoCAD.

AutoCAD es el conocido software de diseño asistido por computadora (CAD). AutoLISP es el lenguaje de programación que funciona dentro de AutoCAD para potenciar y personalizar sus capacidades nativas. Se proporciona sin costo adicional, como un componente estándar de AutoCAD.

El virus se replica en un archivo separado, llamado ACAD.LSP, que es ejecutado automáticamente por AutoCAD. El virus no afecta los archivos DWG existentes.

DWG (AutoCAD Drawing Files), son archivos de formato binario usados por AutoCAD. Pueden contener objetos 2D o 3D y ofrece compresión y comprobación de datos (CRC).

ACAD.LSP se localiza en el mismo directorio de los DWG. Cuando un DWG es abierto, AutoCAD carga y ejecuta automáticamente el contenido de ACAD.LSP.

El virus se copia a si mismo en el directorio de soporte de AutoCAD como ACADAPP.LSP.

Además, agrega un comando de carga al archivo ACAD.LSP en el mismo directorio, de modo que el virus se ejecuta cada vez que AutoCAD es iniciado.

Después, se copiará en cada directorio en que el usuario abra archivos DWG, con el nombre ACAD.LSP.

El virus se engancha a tres comandos internos de AutoCAD, deshabilitándolos. Según la variante, estos comandos pueden ser EXPLODE, XBIND y XREF, o ATTEDIT, XBIND y XREF.

El virus define un nuevo comando BURST que despliega el siguiente mensaje:
BURST—-½”ͼ¿éÖеÄÎÄ×ÖÕ¨¿ªºó³ÉΪʵÌå

En la primera de las variantes, BURST [DESCBLQ], está disponible en el menú Express -> Blocks -> Explode, y sirve para “explotar” bloques, convirtiendo los valores de los atributos en texto. Cuando el usuario intenta acceder a este comando, recibe el siguiente mensaje:

was not able to be explode

En el segundo caso, reemplaza el comando ATTEDIT con uno falso, que le pide al usuario seleccionar objetos (Select objects:), y entonces muestra un mensaje diciendo que no se ha encontrado ninguno (Seltct objects: ?found), donde “?” es un número. Finalmente muestra otro mensaje diciendo que el objeto “?” no está disponible (? was not able to be attedit).”

El preanalisis de VirusTotal indica:
File name: acad.lsp
Submission date: 2010-11-15 09:26:45 (UTC)

Result: 25/ 43 (58.1%)
 VT Community

not reviewed
 Safety score: – 
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.11.15.00 2010.11.14 –
AntiVir 7.10.13.238 2010.11.14 ACAD/Bursted
Antiy-AVL 2.0.3.7 2010.11.15 –
Authentium 5.2.0.5 2010.11.15 –
Avast 4.8.1351.0 2010.11.14 ALS:Bursted-A
Avast5 5.0.594.0 2010.11.14 ALS:Bursted-A
AVG 9.0.0.851 2010.11.15 –
BitDefender 7.2 2010.11.15 Trojan.Bursted.A
CAT-QuickHeal 11.00 2010.11.09 –
ClamAV 0.96.4.0 2010.11.15 Worm.ACAD.Bursted
Comodo 6725 2010.11.15 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.11.15 ACAD.Bursted
Emsisoft 5.0.0.50 2010.11.15 Virus.Acad!IK
eSafe 7.0.17.0 2010.11.14 –
eTrust-Vet 36.1.7976 2010.11.15 AutoLISP/Bursted
F-Prot 4.6.2.117 2010.11.15 –
F-Secure 9.0.16160.0 2010.11.15 Trojan.Bursted.A
Fortinet 4.2.249.0 2010.11.14 –
GData 21 2010.11.15 Trojan.Bursted.A
Ikarus T3.1.1.90.0 2010.11.15 Virus.Acad
Jiangmin 13.0.900 2010.11.15 Acad.Burst
K7AntiVirus 9.67.2973 2010.11.12 –
Kaspersky 7.0.0.125 2010.11.15 Virus.ALS.Bursted
McAfee 5.400.0.1158 2010.11.15 –
McAfee-GW-Edition 2010.1C 2010.11.15 –
Microsoft 1.6301 2010.11.15 Virus:ALisp/Bursted.A
NOD32 5619 2010.11.14 ALS/Bursted.A
Norman 6.06.10 2010.11.14 –
nProtect 2010-11-15.01 2010.11.15 Trojan.Bursted.A
Panda 10.0.2.7 2010.11.14 ACAD/Bursted.B
PCTools 7.0.3.5 2010.11.15 ALS.Bursted.B
Prevx 3.0 2010.11.15 –
Rising 22.73.06.01 2010.11.15 –
Sophos 4.59.0 2010.11.15 –
Sunbelt 7314 2010.11.15 Virus.ALisp.Bursted.p (v)
SUPERAntiSpyware 4.40.0.1006 2010.11.15 –
Symantec 20101.2.0.161 2010.11.15 ALS.Bursted.B
TheHacker 6.7.0.1.083 2010.11.15 –
TrendMicro 9.120.0.1004 2010.11.14 ALS_BURSTED.A
TrendMicro-HouseCall 9.120.0.1004 2010.11.15 ALS_BURSTED.A
VBA32 3.12.14.2 2010.11.15 Virus.ALS.Bursted
ViRobot 2010.11.15.4147 2010.11.15 ACAD.Bursted.A
VirusBuster 12.75.3.0 2010.11.14 –
Additional informationShow all 
MD5   : 57c942e5d700c241f5a13e61f7cb8139
SHA1  : 5bdb5564840b4d7cd683dc1cdf22ea507c4558e8

File size : 7456 bytes

Hemos añadido la extension  .LSP al analisis de ficheros, e implementado el control de este “nuevo” especimen en el ELISTARA de hoy 22.01, como ALISP.BURSTED

saludos

ms, 15-11-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies