пятница, 22 июня 2012 г.

ACAD/Medre: история украденных чертежей

Некоторое время назад ESET начал расследование довольно нетипичной вредоносной программы ACAD/Medre, которая распространялась через модифицированные файлы для AutoCAD. ACAD/Medre предназначалась для промышленного шпионажа и занималась хищением файлов с проектами AutoCAD всех актуальных версий. Наиболее интересным фактом всей этой истории, является то, что самое активное распространение ACAD/Medre происходило в регионе Перу (данные из нашего облака LiveGrid). Вероятнее всего, это связано с   началом распространения именно в этом регионе, за счет чего произошел такой всплеск инфекций, именно в этом регионе. 




В процентном соотношении это выглядит следующим образом:


ACAD/Medre написан на диалекте Lisp, который используется в проектах AutoCAD. Собственно использование нестандартного языка программирования и не типичное поведение повлекло за собой крайне низкий процент обнаружения этой угрозы до сих пор [VT]. А тем не менее ACAD/Medre собирает информацию о чертежах в формате AutoCAD и пытается отправить их злоумышленникам.


Отправка происходит на сервер, который хостится у китайского ISP 163.com:


Подробнее о ACAD/Medre и взаимодействии в расследовании с CVERC (Chinese National Computer Virus Emergency Response Center), читайте в наших аналитических публикациях:

ACAD/Medre.A report [pdf]