Исследователи из компании ESET обнаружили ещё одну вредоносную программу, созданную для промышленного шпионажа. «Ещё одну», потому что пресловутые Duqu и Flame тоже проявляли специфический интерес к файлам AutoCAD.
Новый зловред, получивший название ACAD/Medre.A, обнаружен на большом количестве компьютеров в Перу. Вирус инфицирует программу 3D-моделирования AutoCAD версий с 14.0 по 19.2, изменяет загрузочный файл AutoLISP (acad.lsp) и работает через скрипты, которые выполняются интерпретатором Wscript.exe, интегрированным в операционную систему Windows. На заражённых машинах червь ищет файлы AutoCAD, и отправляет их на 43 почтовых адреса, зарегистрированных на сайтах 163.com и qq.com. Это популярные сайты в Китае, так что можно сделать предположение о китайском происхождении червя.
В коде вируса уже была заготовка для будущих версий AutoCAD 2013, 2014 и 2015, так что у злоумышленников явно были далеко идущие планы.
ACAD/Medre.A помещает добычу в запароленные RAR-архивы (пароль состоит из одного символа “1”), добавляет конфигурационный файл .DXF, после чего отправляет их по отдельности по электронной почте с 25-го порта.
Вирус получил широкое распространение. По оценке ESET, за время работы ACAD/Medre.A сумел отправить на китайские адреса десятки тысяч AutoCAD-файлов. По крайней мере, почтовые ящики 163.com и qq.com на момент исследования были переполнены входящей корреспонденцией.
Интересен и способ распространения вируса: он был помещён в шаблон AutoCAD на одном из авторитетных местных сайтов (более подробная информация будет опубликована позже). Жертв каким-то образом заставляли скачать этот шаблон. Судя по всему, это была таргетированная атака на какую-то конкретную компанию из Перу с целью промышленного шпионажа.