Antivírus blog

vírusok, férgek, botnetek, kártevők

Azután - Az AutoCAD-es kártevő utóélete

2013. október 21. 14:36 - Csizmazia Darab István [Rambo]

Rendszeres olvasóink bizonyára még emlékeznek a jó másfél évvel ezelőtti ACAD/Medre számítógépes féregre, amely AutoCAD rajzállományok ellopására, illetve ezek e-mailben Kínába való továbbítására lett kifejlesztve. Akkor a vizsgálatok szerint több tízezer rajzot sikerült a kártevőnek ellopni, ezek döntő többsége perui számítógépekről került illetéktelen kezekbe. Most áttekintjük, hogy azon túl, hogy a vírusirtók persze már felismerik, mi minden más történt még a biztonságunk érdekében.

Emlékszünk még, mi is volt az eredeti probléma? A fertőzött gépeken az AutoCAD 14.0 és 19.2 közötti verzió használata (AutoCAD 2000-től egészen az AutoCAD 2015-ig) esetén minden egyes újabb létrehozott .DWG kiterjesztésű rajzállományt továbbított a kártevő a kínai szerverekre, mert maga a fertőzés az AutoLISP acad.lsp indítóállományát támadta meg. A kompromittált gépek esetében pedig árulkodó jel volt, hogy a rajzállományokat tartalmazó mappáinkban "acad.fas" illetve "cad.fas" nevű extra állományokat találtunk. A kártevő terjesztők mertek nagyot álmodni, amiről a visszafejtés közben talált kódrészletek is híven árulkodnak: hosszú távra terveztek, nem csak az akkor létező AutoCAD 2013 verzió ellenőrzését programozták le, de a későbbi 2014 és 2015 lekérdezése is szerepel a lisp sablon fájlok ellenőrzésében.

Az ESET a kártevő felfedezésekor igyekezett minden tőle telhető lépést megtenni, így a cégekkel - AutoDESK céggel, az ügyben érintett Tencent nevű kínai internetszolgáltatóval, valamint a kínai CERT-tel (Chinese National Computer Virus Emergency Response Center) - való közvetlen kapcsolatfelvételen, és a kártevő felismerésen túl közzétettek egy, az AutoCAD-hez való ingyenes önálló mentesítő segédprogramot is.

Nos, nem tétlenkedtek azóta az AutoCAD készítői sem, akik tanulva az incidensből, igyekeztek zárni soraikat, és javítani, kivédeni a termékek kihasználható gyenge pontjait. Ehhez első körben az AutoCAD 2013 Service Pack 1 érkezett meg a felhasználókhoz, ebben jelentős fejlesztések történtek annak érdekében is, hogy a fenti kártevő végrehajtását megakadályozzák. Ezt követően pedig az AutoCAD 2014 termékbe is belekerültek a szükséges biztonsági módosítások. Ezzel összhangban új paraméterek is bekerültek a 2014-es változatba, például a /nolisp vagy /safemode lehetőség. Egyes változónevek is változtak - nomen est omen ;-) - vagyis a korábbi "AUTOLOADPATH" mostantól "TRUSTEDPATHS", illetve az "AUTOLOAD" pedig "SECURELOAD" lett. Mostantól ezáltal arra is lehetőség van, hogy a futtatható fájlok csak a "TRUSTEDPATHS" útvonalról működjenek, illetve figyelmeztetést is kérhetünk, ha másik mappából próbálna futni valami.

Vagyis történtek érdemi lépések a megtámadott szoftver készítőinek oldaláról is. Igaz, ezek az opciók bár vélhetően hatásosan állhatják az útját az ACAD/Medre típusú kártevőknek, mégsem ezek lettek az alapértelmezett beállítások. Ennek valószínűsíthető oka, hogy egyelőre még tesztelik ezeknek az új beállítások hatásosságát, valamint a korlátozásokkal nem akarják nehezíteni a régi felhasználók napi munkáját. Ha a figyelmeztető ablak, és mondjuk a Windows UAC figyelmeztető ablak hatásosságát összevetjük, persze hasznos, és igen, egy kattintással valóban figyelmen kívül is hagyható, de ennek ellenére azért mindenképpen a biztonságot igyekszik segíteni ez az elem, és sokkal jobb, mintha nem is lenne. Hogy ez elegendő lesz-e, és mostantól AutoCAD fronton ezzel lezárulnak-e majd végleg a nagy volumenű biztonsági incidensek, azt majd idővel meglátjuk.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr925590785

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.