Análisis técnico de ACADMedre.A

Mucho se ha estado hablando en los últimos días sobre el gusano utilizado para espionaje industrial ACAD/Medre.A, el siguiente articulo detallara el accionar que tiene dicho gusano para cumplir con su cometido.

ACAD/Medre.A es un gusano escrito en AutoLISP, una variante del lenguaje LISP usado en AutoCAD.

A grandes rasgos, el código malicioso realiza las siguientes acciones:

  1. Se copia a si mismo en diferentes lugares, esto tiene dos propósitos, asegurar que se siga ejecutando, y dar la posibilidad de seguir infectando otras muestras.
  2. El payload malicioso roba los proyectos AutoCAD que se abren en el sistema infectado.

En el siguiente texto, detallaremos como estas tareas fueron llevadas a cabo.

El código hecho en AutoLISP, genera diferentes archivos en Visual Basic Script que posteriormente son ejecutados por el interprete nativo de Windows, wscript.exe, una porción de código encargada de crear uno de estos archivos. A continuación, se lo puede observar en la siguiente captura:

Infección e instalación

ACAD/Medre.A trata de generar diferentes copias de si mismo en la maquina infectada, concretamente tenemos:

  • %windir%System32Acad.fas
  • %windir%Acad.fas
  • [Directorio Raíz de AutoCAD]cad.fas
  • [Directorio Raíz de AutoCAD]acad.fas

La siguiente captura detalla este accionar:

ACAD/Medre.A también modifica el archivo acad20??.lsp dentro del directorio raíz de AutoCAD. El nombre del archivo depende de la versión de AutoCAD instalada:

Esta sección es muy interesante, se puede apreciar como el autor del código malicioso ha dado soporte para una versión 19.2, queriendo extender la vida útil del malware hasta el 2015.

Una vez que se consigue la versión del software instalado en la maquina objetivo, añade una linea al acad20??.lsp pertinente, cargando el payload en proyectos limpios:


Si el archivo no es localizado, se procede a crearlo:


Las anteriores acciones mencionadas aseguran la ejecución del payload al abrirse cualquier proyecto de AutoCAD (.DWG). Se puede encontrar mas información sobre la carga de rutinas AutoLISP en la documentación oficial de AutoCAD.

Payload

Robo de proyectos AutoCAD

Como se hizo mención anteriormente, el principal objetivo del malware es robar proyectos de AutoCAD del sistema infectado. Aunque también se envía otra información sensible.

En el código del malware se pueden ver varias credenciales de e-mail correspondientes a servidores chinos. Estos correos son usados para enviar el proyecto y la información pertinente a otra cuenta de correo.

Para elegir al azar una de estas cuentas, el código AutoLISP hace una selección pseudoaleatoria valiéndose de la variable de entorno CPUTICKS.

En la siguiente captura se puede ver el script VBS utilizado para enviar la información:


Las variables PRINC-YFMC, PRINC-YJFWQ, PRINC-YFM y PRINC-YXMM serán completadas con las credenciales correspondientes luego de la selección aleatoria. VL-FILE-FNAM-H contiene la ruta del archivo DWG actualmente abierto, el mismo también es adjuntado al mail.

Por último, tenemos la variable VL-INFO-C que contiene la concatenación del nombre de la maquina y el nombre del usuario que esta usando el proyecto:


Otra información enviada

Aparte del envío del proyecto de AutoCAD, el malware tiene la habilidad de robar los archivos de varios clientes de correo, y envía una copia de si mismo (con contraseña) a otra cuenta con información auxiliar.

ACAD/Medre.A puede robar los archivos .PST de Outlook (Outlook Personal Folders), haciendo referencia a las siguientes entradas al registro:

  • [HKEY_CURRENT_USERSoftwareMicrosoftOffice11.0OutlookCatalog]
  • [HKEY_CURRENT_USERSoftwareMicrosoftOffice12.0OutlookCatalog]
  • [HKEY_CURRENT_USERSoftwareMicrosoftOffice13.0OutlookCatalog]

Tambien hace mal uso del cliente de correo Foxmail si se encuentra instalado, verificando la siguiente entrada:

  • [HKEY_CURRENT_USERSoftwareAerofoxFoxmail] “Executable”

Si la búsqueda es positiva, roba los siguientes archivos del directorio raíz de Foxmail:

  • “AddressAddress.INDX”
  • “AddressAddress.BOX”
  • “AddressSend.INDX”
  • “AddressSend.BOX”

Esta parte no esta operativa, debido a un error de programación. La forma en la que se envía la información es similar a la demostrada anteriormente.

Por ultimo la amenaza prepara un archivo RAR, que es también enviado por correo electrónico:


El contenido del directorio comprimido en el archivo RAR, es cifrado con la contraseña “1”, el mismo contiene los siguientes archivos:

  • Acad.fas
  • Ȥζ»úеÖÆͼ.dxf

(“Ȥζ»úеÖÆͼ” son caracteres en chino)

El archivo .DXF (AutoCAD Drawing Exchange Format) es generado por ACAD/Medre.A y contiene metadata:


Otra información

ACAD/Medre.A usa las siguientes entradas al registro para alojar datos, como ultimo acceso:

  • [HKCUSoftwareMicrosoftWindowsWindows Error Reporting]

“FILE”
“FILE-G”
“FILE-H”
“Time”

Cabe aclarar que la entrada [HKCUSoftwareMicrosoftWindowsWindows Error Reporting] es una entrada legitima de Windows, en este caso solo son añadidas las cuatro llaves anteriormente mencionadas.

Conclusión

Por medio del análisis expuesto anteriormente, hemos llegado a la conclusión de que ACAD/Medre.A es una muestra extremadamente simple en su desarrollo, pero altamente efectiva para llevar a cabo sus labores.

Para mantener a nuestros usuarios más seguros, ESET ha puesto disposición un cleaner para desinfectar el sistema, en caso de que se encuentren bajo la acción de esta amenaza.

Javier Aguinaga
Malware Analyst

Autor , ESET

  • Pedro

    cuanto me gustan estos analisis que hace eset

  • Jon

    el enlace al cleaner está roto.@

  • Muchas gracias Jon por el aviso. El enlace ya se encuentra corregido

  • Pingback: Resumen de amenazas de junio | Seguridad Informática()

  • Sonia

    Bajé el programa de eset para eliminar medre.a, y no funciona.
    Podría saber como debo ejecutarlo o si el archivo esta dañado?

    • Buenos días Sonia,

      Ya hemos reparado el link. Muchas gracias por el aviso.

      Saludos cordiales,

      Joaquín

  • luis

    Hola, he descargado el programa y cuando lo ejectudo me sale este reporte. Pero el virus sigue en mi maquian

    [2013.06.20 12:42:23.018] – Begin
    [2013.06.20 12:42:23.018] –
    [2013.06.20 12:42:23.019] – ………………………………
    [2013.06.20 12:42:23.019] – ..::::::::::::::::::………………..
    [2013.06.20 12:42:23.020] – .::EEEEEE:::SSSSSS::..EEEEEE..TTTTTTTT.. Win32/ACADMedre cleaner
    [2013.06.20 12:42:23.022] – .::EE::::EE:SS:::::::.EE….EE….TT…… Version: 1.1.0.4
    [2013.06.20 12:42:23.023] – .::EEEEEEEE::SSSSSS::.EEEEEEEE….TT…… Built: Apr 10 2013
    [2013.06.20 12:42:23.024] – .::EE:::::::::::::SS:.EE……….TT……
    [2013.06.20 12:42:23.025] – .::EEEEEE:::SSSSSS::..EEEEEE…..TT….. Copyright (c) ESET, spol. s r.o.
    [2013.06.20 12:42:23.026] – ..::::::::::::::::::……………….. 1992-2013. All rights reserved.
    [2013.06.20 12:42:23.026] – ………………………………
    [2013.06.20 12:42:23.026] –
    [2013.06.20 12:42:23.026] – ——————————————————————————–
    [2013.06.20 12:42:23.026] –
    [2013.06.20 12:42:23.027] – INFO: OS: 6.1.7601 SP1
    [2013.06.20 12:42:23.027] – INFO: Product Type: Workstation
    [2013.06.20 12:42:23.028] – INFO: WoW64: True
    [2013.06.20 12:42:23.028] – INFO: Machine guid: B616683C-E3B3-4A59-BA07-3E0EF15FB82F
    [2013.06.20 12:42:23.028] –
    [2013.06.20 12:42:23.029] – ERROR: Required argument(s) missing!
    [2013.06.20 12:42:23.031] –
    [2013.06.20 12:42:23.031] – Usage:
    [2013.06.20 12:42:23.031] – ESETACADMedreCleaner.exe [options]
    [2013.06.20 12:42:23.031] –
    [2013.06.20 12:42:23.031] – Options:
    [2013.06.20 12:42:23.033] – /s – Silent mode.
    [2013.06.20 12:42:23.034] – /f – Forced clean.
    [2013.06.20 12:42:23.034] – /d – Debug mode.
    [2013.06.20 12:42:23.035] – /n – Only list files for cleaning (don’t clean).
    [2013.06.20 12:42:23.036] – /h or /? – Show usage.
    [2013.06.20 12:42:23.036] –
    [2013.06.20 12:42:23.036] – End

    • Buenos días Luis,

      Para poder ejecutar correctamente la herramienta debes abrir una consola (Inicio-Ejecutar–> Allí escribes cmd– Aceptar) y ejecutar la herramienta desde alli con el parámetro /f, es decir “ESETACADMedreCleaner.exe /f”.

      Saludos cordiales,

      Joaquín

  • luis

    Gracias

  • Sebastian

    El nuevo utilitario para eliminar el Virus ACAD MEDRE es algo dificil de manejar por los usuarios infectados con ese virus.

    Mucho mejor estaba la antigua herramienta, (ya no disponible)

    download.eset.com/special/EACADMedreCleaner.exe

    La mejora a ese programa, hubiese sido la de escanear unidades USB, (ya que solo escanea las particiones del Disco Duro)

    La función era automática, solo era necesario ejecutar ese programa:

    version: 1.0.0.4

    ______________

    Sería muy bueno que en base a ese programa, ESET mejore, o agregue el escaneo a las Unindades USB.

    Por ejemplo, yo tengo Particiones C y D, pero tambien tengo el Pendrive conectado con mis planos, y el escaner núnca analizaba la unidad E, F, G…

  • Fabian

    hola, he tratado de ejecutar varias veces el cleaner de eset, pero no realiza ninguna acción aparente y la infección continua…

    • Hola Fabian,

      En caso de que el cleaner no te esté funcionando te pediría que nos envíes el archivo que está siendo detectado a laboratorio@eset-la.com en un archivo comprimido con contraseña “infected” sin comillas.

      De esta manera podremos ver qué es lo que esta fallando y ayudarte a que puedas desinfectarlos.

      Saludos,

      Pablo

Síguenos