Vírus Autocad ALS.Bursted.A
- Descoberto:
- 10 de dezembro de 2003
- Atualizada:
- 5 de junho de 2013 5:17:32
- Também conhecido como:
- AL / Bur
sted-G [Sophos] - Tipo:
- Vírus
ALS.Bursted.A é um vírus que é escrito na linguagem AutoCAD AutoLisp scripting. O vírus será recebido como um arquivo de texto chamado acad.lsp no mesmo diretório de um arquivo de desenho do AutoCAD (.dwg). Quando o arquivo de desenho é aberto, o arquivo acad.lsp é automaticamente carregado pelo AutoCAD que faz com que o vírus seja executado.
O vírus primeiro localiza e lê o arquivo base.dcl no caminho de pesquisa do AutoCAD. Ele usa esse arquivo para localizar o arquivo acad.lsp no diretório AutoCAD Support. O vírus então lê o arquivo acad.lsp para verificar a presença da seqüência de caracteres "acadapp". Se a string não for encontrada, o vírus se copia como acadapp.lsp. Devido a um erro no vírus, a verificação sempre falha.
Em seguida, o vírus verifica se o nome do arquivo de desenho é Drawing.dwg (este é o nome padrão para um novo arquivo de desenho). Se esta verificação falhar, o vírus se copia para a pasta como acad.lsp.
O vírus irá desfazer os comandos internos do AutoCAD EXPLODE, XREF e XBIND. Em seguida, define três comandos dummy com esses nomes.
Finalmente, o vírus define um novo comando chamado BURST. Quando este comando é executado, ele simplesmente exibe uma descrição do comando em chinês.
É importante notar que o vírus não danifica nem modifica os arquivos de desenho de qualquer forma.
O vírus primeiro localiza e lê o arquivo base.dcl no caminho de pesquisa do AutoCAD. Ele usa esse arquivo para localizar o arquivo acad.lsp no diretório AutoCAD Support. O vírus então lê o arquivo acad.lsp para verificar a presença da seqüência de caracteres "acadapp". Se a string não for encontrada, o vírus se copia como acadapp.lsp. Devido a um erro no vírus, a verificação sempre falha.
Em seguida, o vírus verifica se o nome do arquivo de desenho é Drawing.dwg (este é o nome padrão para um novo arquivo de desenho). Se esta verificação falhar, o vírus se copia para a pasta como acad.lsp.
O vírus irá desfazer os comandos internos do AutoCAD EXPLODE, XREF e XBIND. Em seguida, define três comandos dummy com esses nomes.
Finalmente, o vírus define um novo comando chamado BURST. Quando este comando é executado, ele simplesmente exibe uma descrição do comando em chinês.
É importante notar que o vírus não danifica nem modifica os arquivos de desenho de qualquer forma.
Recomendações
O Symantec Security Response incentiva todos os usuários e administradores a aderir às seguintes "práticas recomendadas" básicas de segurança:
- Use um firewall para bloquear todas as conexões de entrada da Internet para serviços que não devem ser disponibilizados publicamente. Por padrão, você deve negar todas as conexões de entrada e permitir apenas os serviços que você deseja explicitamente oferecer ao mundo exterior.
- Aplicar uma diretiva de senha. Senhas complexas tornam difícil a quebra de arquivos de senha em computadores comprometidos. Isso ajuda a prevenir ou limitar danos quando um computador está comprometido.
- Certifique-se de que os programas e usuários do computador usam o menor nível de privilégios necessários para concluir uma tarefa. Quando for solicitada uma senha raiz ou UAC, certifique-se de que o programa solicitando acesso ao nível administrativo é um aplicativo legítimo.
- Desative a Reprodução Automática para evitar o lançamento automático de arquivos executáveis em rede e unidades removíveis e desconecte as unidades quando não for necessário. Se o acesso de escrita não for necessário, habilite o modo de somente leitura se a opção estiver disponível.
- Desativar o compartilhamento de arquivos, se não for necessário. Se for necessário o compartilhamento de arquivos, use ACLs e proteção por senha para limitar o acesso. Desative o acesso anônimo para pastas compartilhadas. Conceder acesso somente a contas de usuário com senhas fortes para pastas que devem ser compartilhadas.
- Desligue e remova serviços desnecessários. Por padrão, muitos sistemas operacionais instalam serviços auxiliares que não são críticos. Estes serviços são avenidas de ataque. Se forem removidos, as ameaças têm menos avenidas de ataque.
- Se uma ameaça explora um ou mais serviços de rede, desative ou bloqueie o acesso a esses serviços até que um patch seja aplicado.
- Mantenha sempre atualizados seus níveis de atualização, especialmente em computadores que hospedam serviços públicos e acessíveis através do firewall, como HTTP, FTP, correio e serviços DNS.
- Configure o servidor de e-mail para bloquear ou remover e-mails que contenham anexos de arquivo comumente usados para espalhar ameaças, como arquivos .vbs, .bat, .exe, .pif e .scr.
- Isolar computadores comprometidos rapidamente para evitar que as ameaças se espalhem ainda mais. Execute uma análise forense e restaure os computadores usando mídia confiável.
- Treinar os funcionários a não abrir anexos a menos que eles estão esperando. Além disso, não execute software que é baixado da Internet, a menos que tenha sido verificado em busca de vírus. Basta visitar um site comprometido pode causar infecção se certas vulnerabilidades do navegador não são corrigidas.
- Se o Bluetooth não for necessário para dispositivos móveis, ele deve ser desligado. Se você precisar de seu uso, verifique se a visibilidade do dispositivo está definida como "Oculto" para que ele não possa ser verificado por outros dispositivos Bluetooth. Se for necessário usar o emparelhamento de dispositivos, certifique-se de que todos os dispositivos estejam definidos como "Não autorizado", exigindo autorização para cada solicitação de conexão. Não aceite aplicativos que não sejam assinados ou enviados de fontes desconhecidas.
- Para obter mais informações sobre os termos usados neste documento, consulte o glossário de Resposta de Segurança.
Comentários