Trojan lift mee op AutoCAD
Gepubliceerd: Donderdag 2 juli 2009
Auteur: Michiel van Blommestein
Een nieuwe trojan is wel heel specifiek gericht op een groep eindgebruikers. De malware, die als adware client dienst doet, nestelt zich op het systeem via AutoCAD.
Trojan-Pigrig is een ObjectARX-applicatie die als een klein bijprocesje draait onder Windows, zo schrijft Andrew Brandt van securityleverancier Webroot op zijn blog. Eerst controleert hij welke versie van AutoCAD geïnstalleerd is, en op basis van die informatie legt hij contact met malwareservers in China. Daar haalt hij de specifieke code vandaan die afhankelijk is van de AutoCAD-versie.
Een duidelijk signaal dat een systeem besmet is, wordt gegeven door het aanmaken van een Recycled-map op elke drive met drie .dat-bestanden. Bij niet-beschrijfbare media (zoals dvd-drives) verschijnt daarover een foutmelding.
Het sleutelcomponent van de malware is een Windows-service genaamd de RIP-listener. Deze neemt de functie van downloadserver op zich, en draagt er zorg voor dat de bestanden en registersleutels die met de malware van doen hebben met rust worden gelaten. Mocht hieraan gerommeld worden, sluit de malware het systeem plots af.
AutoCAD is een populair tekenprogramma voor technische schetsen en 3D-ontwerpen. Doordat de trojan zo specifiek daarop is gebaseerd, is het moeilijk om hem te detecteren. Webroot stelt dat een effectieve manier het blokkeren van de gebruikte domeinen is.
Bron: Techworld
