NUEVA VARIANTE DE MALWARE ALISP BURSTED en ficheros de AUTOCAD

Otra variante de este malware, del que el ELISTARA ya controla otra desde tiempo atrás, pasa a ser controlada a partir del ELISTARA 30.05 de hoy
Ofrecemos la información que al respecto indicabamos en la anterior variante:
________
“Virus escrito para el lenguaje AutoLISP de AutoCAD.

AutoCAD es el conocido software de diseño asistido por computadora (CAD).
AutoLISP es el lenguaje de programación que funciona dentro de AutoCAD
para potenciar y personalizar sus capacidades nativas. Se proporciona
sin costo adicional, como un componente estándar de AutoCAD.

El virus se replica en un archivo separado, llamado ACAD.LSP, que es
ejecutado automáticamente por AutoCAD. El virus no afecta los archivos
DWG existentes.

DWG (AutoCAD Drawing Files), son archivos de formato binario usados por
AutoCAD. Pueden contener objetos 2D o 3D y ofrece compresión y comprobación
de datos (CRC).

ACAD.LSP se localiza en el mismo directorio de los DWG. Cuando un DWG es
abierto, AutoCAD carga y ejecuta automáticamente el contenido de ACAD.LSP.

El virus se copia a si mismo en el directorio de soporte de AutoCAD como
ACADAPP.LSP.

Además, agrega un comando de carga al archivo ACAD.LSP en el mismo
directorio, de modo que el virus se ejecuta cada vez que AutoCAD es iniciado.

Después, se copiará en cada directorio en que el usuario abra archivos DWG,
con el nombre ACAD.LSP.

El virus se engancha a tres comandos internos de AutoCAD, deshabilitándolos.
Según la variante, estos comandos pueden ser EXPLODE, XBIND y XREF,
o ATTEDIT, XBIND y XREF.

El virus define un nuevo comando BURST que despliega el siguiente mensaje:
BURST—-½”ͼ¿éÖеÄÎÄ×ÖÕ¨¿ªºó³ÉΪʵÌå

En la primera de las variantes, BURST [DESCBLQ], está disponible en el
menú Express -> Blocks -> Explode, y sirve para “explotar” bloques,
convirtiendo los valores de los atributos en texto. Cuando el usuario
intenta acceder a este comando, recibe el siguiente mensaje:

was not able to be explode

En el segundo caso, reemplaza el comando ATTEDIT con uno falso, que le pide
al usuario seleccionar objetos (Select objects:), y entonces muestra un
mensaje diciendo que no se ha encontrado ninguno (Seltct objects: ?found),
donde “?” es un número. Finalmente muestra otro mensaje diciendo que el
objeto “?” no está disponible (? was not able to be attedit).

Para limpiar un sistema infectado, ejecute un antivirus actualizado
(asegúrese de que examine la extensión .LSP), y borre los archivos
infectados, o borre manualmente los archivos de referencia ya indicados.

Al reiniciar AutoCAD el archivo ACAD.LSP global puede mostrar un error.
El mismo debe ser editado para eliminar las llamadas a los archivos LSP
infectados que fueron eliminados.”
_______

El preanalisis de virustotal ofrece este informe:
MD5 08ec2b9562153a37d39c566d3dbb74f9
SHA1 b0797e6dbe1d78068194cdf10a226c2789b18cc9
Tamaño del fichero 6.8 KB ( 6975 bytes )
SHA256: ce1df6427a1e9876d1e1f888dcf62f2d0b2a7624b5c2a1e0c34e1b61b0ad11ea
Nombre: acad.lsp
Detecciones: 21 / 49
Fecha de análisis: 2014-05-28 07:21:16 UTC ( hace 5 minutos )

0 1
Antivirus  Resultado  Actualización
Agnitum  ALS.Bursted.C  20140527
AntiVir  ACAD/Bursted.K  20140528
Avast  ALS:Bursted-A  20140528
Bkav  W32.acadlsp.Worm  20140527
DrWeb  ACAD.Bursted.26  20140528
ESET-NOD32  ALS/Bursted.AO  20140528
Fortinet  ACM/Bursted.A  20140528
GData  Script.Trojan.Agent.NQUZ32  20140528
Ikarus  Virus.Acad  20140528
Kaspersky  Virus.Acad.Bursted.b  20140528
McAfee  ALS/Bursted  20140528
McAfee-GW-Edition  ALS/Bursted  20140528
Microsoft  Virus:ALisp/Bursted.BL  20140528
NANO-Antivirus  Virus.Script.Bursted.cniyom  20140528
Norman  Suspicious_Gen2.FCULF  20140528
Panda  ACAD/Bursted.P  20140527
Qihoo-360  Trojan.Generic  20140528
Sophos  AL/Bursted-M  20140528
Symantec  ALS.Bursted.B  20140528
Tencent  Win32.Virus.Bursted.Ijc  20140528
ViRobot  ACAD.S.Bursted.6975  20140528

Dicha version del ELISTARA 30.05 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 28-5-2014