你的CAD图纸被盗了吗? – 作者:安全豹

本次分析的样本是CAD脚本动态生产的一种VBS蠕虫病毒,大概10多年前就已经开始通过E-Mail传播此样本,而如今这类病毒依旧活跃着,浮浮沉沉,生生不息。

蠕虫病毒简介:

蠕虫病毒是一种常见的计算机病毒,它是利用网络进行复制和传播,传染途径是通过网络和电子邮件,它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中,本次病毒样本就是利用邮件传播(并且已经传播长达10年之久)。

1.png

2.png

大概有50个攻击邮箱,其中大概一半是163邮箱用于感染传播,另一半是QQ邮箱用于发送被盗用图纸,攻击了10年之久,如果作者还知道自己的病毒还存在的话,那么可想而知,他偷窃了多少人的设计图纸,感染了多少用户。

据统计:

感染邮箱: 大概有25个用于感染传播的邮箱,其中我们可以登录上去的一个邮箱,显示传播1300个,总得推算下来大概有32500个用户被感染。

盗图纸信箱:可登录的QQ邮箱一个有大约100个图纸,大概有25个这类邮箱,那么最少也偷了2500份图纸。

3.png

4.png 5.png

最近还很活跃,感染用户主要分布在广东,福建,四川。

6.png

7.png

CAD病毒:

AutoCAD设计图纸软件可以执行自己的LISP脚本文件,就如同Office的宏脚本一样,设计初衷是为了方便设计师的操作,但由于设计不当,更或者是说,人心难测,利益熏心,进而恶意利用此“漏洞” 。

通常CAD脚本恶意功能(举例):

1 注册表操作

2 文件操作

3 调用一些COM组件

4 调用CMD

可见CAD脚本也是十分强大的,基本和Office 宏差不多,只不过其语法独特,还有用户量少,致使其病毒也不多。

VBS病毒:

VBS是Windows上经常见到的脚本文件,编写简单,功能强大,这类病毒十分常见就不多说了。

CAD结合VBS病毒:

这次分析的是CAD和VBS结合的一种蠕虫病毒,由CAD生成VBS,并且再次打包恶意CAD脚本进行邮件传播,并且偷取用户图纸文件,可谓是“狼狈为奸”。

CAD脚本的功能:

1、执行,复制,生成VBS。

8.png

尝试将自身复制到以下位置:

%windir%\System32\Acad.fas

%windir%\Acad.fas 

并且增加只读和隐藏属性,运行自删除。

9.png

AutoCAD Support目录中的lisp文件首先它检查安装了哪个版本的AutoCAD:  

10.png11.png

蠕虫就会尝试找到acadVersion.lsp文件,并向其添加代码:

12.png

添加到acadVersion.lsp文件,因为每次打开图纸或者软件,都会自动加载该文件,所以可以保证每次打开CAD图纸时自动加载病毒文件,并且生成VBS传播,也就是每次打开一张图纸就会传播一次。

Rar 打包文件并且通过邮件传播:

13.png

14.png 

15.png

2、从受感染系统中窃取AutoCAD图纸,发送机器名和用户名

16.png 

向攻击者发送文件邮件

17.png 

登录其发件邮箱:(QQ和163)

19.png 

20.png 

21.png 

都是小号并没有发现什么相关信息,没有任何绑定和二级密码。

总结:

CAD脚本复制感染用户电脑,并且生成VBS脚本进行邮件传播,偷取用户CAD图纸,发送到攻击者邮箱里面。

攻击者利用垃圾邮件进行简单的社会工程学进行攻击欺骗,然而总会有一些用户会不以为意点击下载,并且执行,通常可以识别来源的是没问题的,但是总有刁民想害朕,也许就是简单的执行CAD脚本就中毒了,所以最好不要相信来历不明的邮件,更不要下载运行。

22.png 

此病毒浮浮沉沉,但生生不息,随着杀毒软件日益强大,它也不能随意兴风作浪了,当然还有微软操作系统的安全性在不断提高,也抑制了病毒的扩展。所以小伙伴们要及时安装杀毒软件,和更新系统漏洞,以免遭遇不测!!!

来源:freebuf.com 2018-01-23 16:09:27 by: 安全豹

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论