Malware amateur en AutoCad y archivos por lotes
Agosto 28, 2009 2:11 pmComo mencionabamos en el post sobre un malware muy (poco) profesional, no todos los archivos maliciosos tienen un código complejo ni son difíciles de detectar por parte de los antivirus.
Tal es el caso del virus detectado por ESET NOD32 como ALS/Bursted.B. El mismo tiene la particularidad de estar creado en Autolisp, el lenguaje de desarrollo de scripts para AutoCAD. Desde este punto de vista, el virus es interesante y demuestra una vez más que no hay plataformas a salvo de los códigos maliciosos, y que cualquier atacante puede encontrar un vector de ataque en la misma.
Sin embargo, para observar las rutinas del propio código, no es necesario hacer Ingeniería Inversa, análisis estático de malware, captura de tráfico o desofuscar código. Solo debes ¡abrir un editor de texto!
El virus se encuentra en un archivo de nombre acad.lsp, que se encuentra en una carpeta de imagen de AutoCAD. Si el usuario ejecuta el archivo principal de AutoCAD (de extensión DWG), se ejecutará el archivo LSP con las instrucciones indicadas. Además, deshabilita los comandos EXPLODE, XREF y XBIND del AutoCAD y crea un nuevo comando, BURST, que se ejecutará al iniciar la aplicación y muestra un mensaje (en idioma chino).
El premio mayor de estas amenazas (amateurs), se lo lleva el troyano de archivos por lotes (BAT) detectado como BAT/KillWin.NAQ trojan. Para aquellos que entiendan sólo un poco de programación, con ver la imagen y parte de su código será suficiente:
Se trata de un “malware” que tiene como objetivo borrar todos los archivos de la carpeta del sistema Microsoft Windows. Definitivamente una creación amateur, extremadamente sencilla y promocionado en algunos foros y sitios como un “virus extremadamente peligroso e indetectable”.
Lo que queda claro con este tipo de amenazas, es que aunque el foco tanto por parte nuestra (la industria de la seguridad) como por parte del usuario debe estar puesto en la protección contra amenazas más graves y complejas; siempre hay que estar preparados para un grupo de individuos aficionados, con algo de tiempo libre, y ganas de molestar.
Sebastián
Promedio: 4.38
14-2-2010 a las 4:13 pm
Hola Roaln,
Tal y como dice el post, lo puedes eliminar sin problemas con ESET NOD32.
Cristian
12-2-2010 a las 9:57 pm
Osea no afecta en nada, que toca vivir con el virus porque no afecta ne nada, y no se elimina, y entonces que se hace
11-11-2009 a las 10:42 am
Hola jose luis,
Como indica el texto, el ESET NOD32 Antivirus detecta la amenaza.
Sebastián
10-11-2009 a las 11:44 am
COMO SE BORRA ESTE VIRUSSSSSS????
4-9-2009 a las 12:48 am
Hola Paulo,
Si vemos de esos códigos todos los días y no representa ninguna amenaza para un usuario educado y con buenas herramientas.
Cristian
28-8-2009 a las 7:40 pm
Jajajajajajajajajajajaja…
Y ustedes no han visto los foros:
“Mi super virus:
@echo off
echo virussssssss
del C:\Windows\
[ELIMINADO] -s -f”
Y hay docenas de esos, les daria una web con muchos ejemplos, pero hackerarray.[ELIMINADO].com está caida.
Cuando aprendera esta gente U_U
Salu2.