Spion hat AutoCAD-Dateien im Visier

Das Antivirenhersteller Eset hat einen Spionagetrojaner entdeckt, der zehntausende technische Zeichnungen abgegriffen und an eine chinesische Mailadresse geschickt hat.

In Pocket speichern vorlesen Druckansicht 83 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Das Antivirenhersteller Eset hat einen Spionagetrojaner entdeckt, der technische Zeichnungen im AutoCAD-Format an eine chinesische Mailadresse verschickt hat – und das offenbar sehr erfolgreich: in den vom Schädling genutzten Mailaccounts fanden die Virenforscher zehntausende Mails mit Anhang vor. Der Trojaner dient sehr wahrscheinlich der Industriespionage.

Laut dem Bericht sendete der auf den Namen ACAD/Medre.A getaufte Schädling sämtliche geöffnete AutoCAD-Dateien (.dwg) als passwortgeschützte ZIP-Archive an eine Mail-Adresse beim chinesischen Provider 163.com. War Microsoft Outlook auf dem System installiert, hat der Spion ebenfalls die PST-Datei des Programms verschickt, die sämtliche in Outlook gespeicherte Dateien enthält.

Zum Versand nutzte der Spion 43 Mail-Accounts bei 163.com und dem ebenfalls chinesischen Provider qq.com. Der Schädling hat direkt über SMTP mit den Postausgangsservern kommuniziert, die Zugangsdaten sind in dem Skript enthalten. In Zusammenarbeit mit den Email-Providern gelang es Eset nach eigenen Angaben, die Accounts still zu legen.

Der Spion wurde in der AutoCAD-eigenen Skriptsprache AutoLISP entwickelt und hat sich Komplizen in Form von Visual-Basic-Skripten mitgebracht. Aktiviert wurde er bei Öffnen einer speziell präparierten AutoCAD-Datei. Die Malware soll dazu in der Lage sein, andere AutoCAD-Dateien zu infizieren.

Laut Eset wurde die Datei primär über eine peruanische Webseite verbreitet, weshalb der Schädling fast ausschließlich in Peru und andere spanischsprachigen Ländern gewütet hat. In dem Bericht ist ein kostenloses Tool verlinkt, mit dem man ACAD/Medre.A entfernen kann. Laut Eset wird das Spionageprogramm von gängigen AV-Programmen erkannt.

Auch der Super-Spion Flame hatte es unter anderem auf technische Zeichnung abgesehen. Anders als der aktuelle Fall wurde Flame jedoch für gezielte Spionage-Einsätze im Nahen Osten eingesetzt und hatte noch zahlreiche weitere Tricks im Programm, wie die Verbreitung über gefälschte Windows-Updates. (rei)