--2012年10月10日更新---
・ALS/Burstedは、AutoCADアプリケーションのスクリプトの作成に使用するAutoLispプログラミング言語を使って作成されたウイルスです。ALS/Burstedは最初に以下のコマンドを使ってファイル名を取得し、ファイル名がDrawing1.dwgの場合、ファイルをDrawing1.dwgという名前で「My Documents」フォルダに保存します。
Lsp command: getvar "dwgname"
・次に、AutoCADのSupportフォルダの場所(%AppData%\Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\)を確認するため、「base.dcl」のファイルパスを検索します。
・ALS/BurstedはAutoCADのSupportフォルダに「acadapp.lsp」が存在するか確認し、ファイルが存在しない場合は、自身を「acadapp.lsp」という名前でAutoCADのSupportフォルダにコピーし、描画ファイルが開かれると、ファイルが自動的にAutoCADによってロードされ、ALS/Burstedが実行されるようにします。
・また、以下のコマンドを付加することにより、AutoCADのSupportフォルダの「acad.mnl」ファイルに感染します。
(load "acadappp.lsp")
(princ)
・また、*.dwgファイルと一緒に、現在作業中のフォルダに「acad.lsp」という名前で自身をコピーします。
・実行時、以下のファイルがシステムに追加されます。
- %AppData%\Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\acadappp.lsp
- [*.dwgの現在作業中のフォルダ]\acad.lsp
--2012年3月30日更新---
・「ALS/Bursted」はAutoCADで使われるAutoLispスクリプト言語で作成されたウイルスです。AutoCADの描画ファイル(.dwg)として同じフォルダに格納されます。
・描画ファイルが開かれると、AutoCADによって自動的にロードされ、ALS/Burstedが実行されるようにします。乗っ取ったコンピュータの.dwgファイルに感染します。
・さらに、以下のファイルに感染する可能性があります。
- %UserProfile%\Application Data\Autodesk\AutoCAD2007\R17.0\chs\support\acad\doc.lsp
- %UserProfile%\Application Data\Autodesk\AutoCAD2007\R17.0\chs\support\acad\.mnl
・なお、2007は年、R17.0はバージョン、chsは中国語を表しています。
・上記のファイルが存在しない場合、ALS/Burstedによって作成されます。
・ALS/Burstedによって改変されるファイルの終わりには「;;;jjyy」というテキストが格納されます。
・さらに、以下の条件が満たされているか確認します。
- 現在の日付が2009年9月9日以降
- 現在の時間が偶数
- MACアドレスがあらかじめ定められていた値
・上記の条件が満たされている場合、ALS/Burstedは、.dwgファイルに感染するため、以下のAutoCADコマンドを上書きします。
- qsave
- saveas
- wblock
- insert
- pline
・上記のコマンドが.dwgファイルで実行されると、ALS/Burstedが乗っ取ったコンピュータのAutoCAD描画ファイルに感染します。
・また、ネットワークアダプタがネットワークに接続されているかどうか確認します。
・以下のレジストリ値が改変されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
CheckedValue = 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
DefaultValue = 0
・上記のレジストリ項目により、乗っ取ったユーザがシステムの隠しファイル、フォルダを閲覧できないようにします。
--2011年7月29日更新---
・「ALS/Bursted」はAutoCADで使われるAutoLispスクリプト言語で作成されたウイルスです。AutoCADの描画ファイル(.dwg)として同じフォルダに格納されます。・描画ファイルが開かれると、AutoCADによって自動的にロードされ、ALS/Burstedが実行されるようにします。
・以下のレジストリ値が改変されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CHECKEDVALUE = 0
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
CHECKEDVALUE = 0
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
DEFAULTVALUE = 0
・上記のレジストリ項目により、乗っ取ったシステムのファイルが隠されます。
--2010年12月7日-----
・以下の動作を見せる亜種が確認されました。
・AutoCADの自動ロード機能を利用するため、サポートパスにある以下のファイルを見つけて削除し、置き換えようとします。
- acad.fas
- lcm.fas
- acad.lsp
・ALS/BurstedによるAutoCADのコマンドの無効化は確認されていません。
--2010年9月28日-----
・「ALS/Bursted」はAutoCAD AutoLispスクリプト言語で作成されたワームです。リムーバブルドライブ、マップされたドライブを介して繁殖する可能性があります。また、マルウェアの作者が管理するWebサイトから悪質なファイルをダウンロードします。
・AutoCADのFASファイルの自動ローディングを利用して、自身を起動します。
・以下の場所に自身をコピーします。
- %Windir%\DivX.fin
- %ProgramFiles%\AutoCAD\Fonts\isohztxt.shx
・システムの乗っ取り後、.dwgファイルが格納されているフォルダを探し、DWGファイルが格納されているフォルダ内に悪質なファイル(acad.fas)を作成して拡散します。
・以下のレジストリキーがシステムに追加されます。
- HKEY_CURRENT_USER\SOFTWARE\FileKen\settings
・以下のWebサイトに接続して、リモートサーバから悪質なファイルをダウンロードする可能性があります。
- http://www.cad[削除].com/z/bkd.gif
・攻撃者は、ALS/Burstedを使って、システムを完全に制御し、ICMP pingメッセージを以下のIPアドレスに送信して、バックドア活動を仕掛けます。
"update[削除]800.org"
・ALS/BurstedはACAD/Burstedとして検出され、AutoLisp(AutoCADアプリケーションのスクリプトに使用された言語)で作成されています。ALS/Burstedは、current workingディレクトリのacad.lspファイルに含まれます(.dwgファイルも同じディレクトリに存在します)。ドローファイルがロードされると、acad.lspファイルは自動実行します。
・次に、AutoCad Supportディレクトリにacadapp.lspファイルをコピーして、ACADアプリケーションの起動時に実行します。
・3種類のAutoCadコマンド(EXPLODE、XREF、およびXBIND)を無効にして、メッセージを表示する新しいコマンド(BURST)を定義します。
