Malware amateur en AutoCad y archivos por lotes

Como mencionabamos en el post sobre un malware muy (poco) profesional, no todos los archivos maliciosos tienen un código complejo ni son difíciles de detectar por parte de los antivirus.

Tal es el caso del virus detectado por ESET NOD32 como ALS/Bursted.B. El mismo tiene la particularidad de estar creado en Autolisp, el lenguaje de desarrollo de scripts para AutoCAD. Desde este punto de vista, el virus es interesante y demuestra una vez más que no hay plataformas a salvo de los códigos maliciosos, y que cualquier atacante puede encontrar un vector de ataque en la misma.

Sin embargo, para observar las rutinas del propio código, no es necesario hacer Ingeniería Inversa, análisis estático de malware, captura de tráfico o desofuscar código. Solo debes ¡abrir un editor de texto!

Malware amatuer

El virus se encuentra en un archivo de nombre acad.lsp, que se encuentra en una carpeta de imagen de AutoCAD. Si el usuario ejecuta el archivo principal de AutoCAD (de extensión DWG), se ejecutará el archivo LSP con las instrucciones indicadas. Además, deshabilita los comandos EXPLODE, XREF y XBIND del AutoCAD y crea un nuevo comando, BURST, que se ejecutará al iniciar la aplicación y muestra un mensaje (en idioma chino).

El premio mayor de estas amenazas (amateurs), se lo lleva el troyano de archivos por lotes (BAT) detectado como BAT/KillWin.NAQ trojan. Para aquellos que entiendan sólo un poco de programación, con ver la imagen y parte de su código será suficiente:

Malware amatuer

Se trata de un “malware” que tiene como objetivo borrar todos los archivos de la carpeta del sistema Microsoft Windows. Definitivamente una creación amateur, extremadamente sencilla y promocionado en algunos foros y sitios como un “virus extremadamente peligroso e indetectable”.

Lo que queda claro con este tipo de amenazas, es que aunque el foco tanto por parte nuestra (la industria de la seguridad) como por parte del usuario debe estar puesto en la protección contra amenazas más graves y complejas; siempre hay que estar preparados para un grupo de individuos aficionados, con algo de tiempo libre, y ganas de molestar.

Sebastián

Autor , ESET

  • Paulo

    Jajajajajajajajajajajaja…
    Y ustedes no han visto los foros:
    “Mi super virus:
    @echo off
    echo virussssssss
    del C:Windows
    [ELIMINADO] -s -f”
    Y hay docenas de esos, les daria una web con muchos ejemplos, pero hackerarray.[ELIMINADO].com está caida.
    Cuando aprendera esta gente U_U
    Salu2.

    • Hola Paulo,

      Si vemos de esos códigos todos los días y no representa ninguna amenaza para un usuario educado y con buenas herramientas.

      Cristian

  • jose luis

    COMO SE BORRA ESTE VIRUSSSSSS????

    • Hola jose luis,

      Como indica el texto, el ESET NOD32 Antivirus detecta la amenaza.

      Sebastián

  • roaln

    Osea no afecta en nada, que toca vivir con el virus porque no afecta ne nada, y no se elimina, y entonces que se hace

    • Hola Roaln,

      Tal y como dice el post, lo puedes eliminar sin problemas con ESET NOD32.

      Cristian

Síguenos