ويروس ALS/CadStealer
[wptabs style=”wpui-red” effect=”fade” mode=”horizontal”]
[wptabtitle] چیست[/wptabtitle] [wptabcontent] ويروسی با درجه خطر کم (Low) که عملکرد “کرم” (Worm) داشته و نرم افزار Autocad را مورد هدف قرار داده و برای آلوده سازی این محیط طراحی شده است. در محیط نرم افزار AutoCAD از زبان AutoLISP برای برنامه نویسی و تولید اسکریپت استفاده می گردد که ویروس ALS/CadStealer و ویروسهای مشابه، از این امکانات حداکثر استفاده را می برند. نسخه های مشابه ویروس ALS/CadStealer با نام ALS/Bursted سالهاست کاربران زیادی را در گوشه و کنار دنیا آلوده کرده است طوریکه برخی از شرکتها از نام ALS/Bursted برای این ویروس استفاده کرده اند.
مهمترین ویژگی ویروس ALS/CadStealer آنست که برای اهداف جاسوسی و دزدی اطلاعات ساخته شده است و منشا آن به احتمال زیاد کشور چین می باشد. گرچه تاکنون در ایران موارد چندانی از آلودگی به ALS/CadStealer مشاهده نشده است، اما میزان انتشار ویروس قدیمی ALS/Bursted بسیار زیاد بوده است و همین موضوع نشان می دهد که باید در آینده منتظر این ویروس جدید هم باشیم.
[/wptabcontent]
[wptabtitle] نامگذاری[/wptabtitle] [wptabcontent] اين ويروس با نامهای زير توسط ضدويروسهای مختلف شناسايی می شود:
– McAfee ALSCadStealer
– BitDefender Trojan.ACAD.H
– Microsoft Email-Worm.Acad.Medre.b
– Symantec ALS.Bursted.B
– Kaspersky Email-Worm.Acad.Medre.b
– Eset ACAD/Medre.A
[/wptabcontent]
[wptabtitle] انتشار[/wptabtitle] [wptabcontent] این ویروس، در فایلی بنام acaddoc.lsp و در کنار فایلهای .dwg (که حاوی نقشه های مهندسی است) قرار گرفته و هنگام بازکردن نقشه ها همراه با آنها درون حافظه اجرا می گردد. اگر ویروس برای اولین بار در دستگاه اجرا شده باشد، نسخه ای از ویروس در فایلهای زیر:
• %UserProfile%\Application Data\Autodesk\AutoCAD2007\support\acaddoc.lsp
• %UserProfile%\Application Data\Autodesk\AutoCAD2007\support\acad.mnl
قرارگرفته و در اینصورت نرم افزار AutoCAD دستگاه آلوده نیز می تواند هر نقشه دیگری را که ذخیره می کند آلوده سازد.
[/wptabcontent]
[wptabtitle] خرابکاری[/wptabtitle] [wptabcontent] ویروس ALS/CadStealer پس از آلوده نمودن دستگاه، فایل های نقشه Autocad را پیدا نموده و قادر است آنها را از طریق پست الکترونیک به نشانی های خاصی که توسط دو شرکت اینترنتی چینی (163.com and qq.com) فراهم شده است، ارسال نماید.
این ویروس به زبان AutoLISP (یک زبان اسکریپتی نویسی در Autocad) نوشته شده است. برای ارسال اطلاعات دزدی شده یک فایل Rar رمزنگاری شده می سازد که علاوه بر اطلاعات شامل یک فایل acad.fas و یک فایل با پسوند .dxf می باشد و سپس از طریق ایمیل ارسال می شود. فایل با پسوند .dxf که توسط ویروس ایجاد می شود، حاوی اطلاعاتی است که بعد از دریافت نامه الکترونیکی برای رمزگشایی اطلاعات دزدی شده مورد استفاده قرار می گیرد. همچنین رمزی که برای فایل Rar استفاده می شود تنها یک نویسه (کاراکتر) بوده و “1” می باشد.
پس از بررسی حساب های کاربری که برای ارسال ایمیل توسط ویروس مورد استفاده قرار گرفته است، مشخص شد که تمامی این حساب ها بخش نامه های ورودی شان (Inbox) پر شده است و در حدود 100.000 نامه ی الکترونیکی در آن قرار دارد.
یکی از اهداف این ویروس جاسوسی صنعتی برای نویسندگان این ویروس می باشد. به این معنا که ویروس ALS/CadStealer با دزدی طرح های جدیدی که با Autocad طراحی شده اند، به صورت خودکار آنها را برای نویسندگان ویروس ارسال نموده و آنها قبل از اینکه این طرح ها به تولید و یا حتی به ثبت برسند، طرح را به نام خودشان ثبت نموده و یا از آن استفاده می کنند که این خسارات مالی بسیاری به صاحبان اصلی طرح ها می رساند.
فعالیت این ویروس هیچ محدودیتی ندارد و می تواند کل یک پروژه ی Autocad را بدزدد و همچنین در صورت وجود برنامه ی Outlook بر روی سیستم قربانی، تمامی اطلاعات حساب ها و تقویم ها و نامه های الکترونیکی را دریافت و برای نویسندگان خود ارسال می نماید.
[/wptabcontent]
[wptabtitle] پیشگیری[/wptabtitle] [wptabcontent] به روز نگه داشتن ضدويروس و همچنين استفاده از تنظيمات توصيه شده توسط كارشناسان شركت مهندسی شبکه گستر در نرم افزار ضدويروس می تواند کامپيوتر را در مقابل اين ويروس محافظت کند.
ضدویروس مک آفی با فایل های اطلاعاتی شماره 6756 و بالاتر قادر به شناسایی و پاکسازی این ویروس می باشد.
[/wptabcontent]
[/wptabs]
یک پاسخ
با سلام و تشکر از مطلب خوبتون این ویروس توسط یک لیسپ دیگه که آدرس رو براتون میزارم کاملا از بین میره فقط کافیه اون رو توی اتوکد لود کنید و سپس همه فایل های با نام acaddoc.lsp رو از توی سیستم پاک کنید.
http://metinsaylan.com/?dl_name=acaddocfix_1.6.lsp