A leleplezést az ESET Live Grid (az ESET ThreatSense.Net következő generációs változata) segítette. A megbízhatósági értékeléseken alapuló figyelmeztető rendszer képes már korai fázisban észlelni a számítógépeken terjedő kártevőket.
A számítástechnikai felhőben (interneten) található kártevőadatok valós idejű letöltése révén az ESET víruslaborja folyamatosan frissen tartja a védelmet, és állandó védelmi szintet szolgáltat. A Live Grid annyit tesz, hogy a gépen lévő fájlok méretét és hash-ét összehasonlítja több millió használó azonos fájljával, és ha nagyszámú használónak van ilyenje, akkor szűrője szerint az adott fájl biztonságosnak tekinthető. Pontosan ez segítette a leleplezést, mikor is az ESET víruslabor munkatársai a perui adatokban látványos eltéréseket észleltek. A begyűjtött mintákból egyértelműen sikerült azonosítani, hogy az „ACAD/Medre. A” féreg a számítógépes tervezés egyik legismertebb eszközének, a hazánkban is széles körben használt AutoCAD rajzállományok ellopására, illetve e-mailben Kínába való továbbküldésükre jött létre. Az ESET kutatói felvették a kapcsolatot az ügyben érintett Tencent kínai internetszolgáltatóval, a kínai CERT-tel (Chinese National Computer Virus Emergency Response Center) és az AutoCAD programot fejlesztő és forgalmazó AutoDesk céggel is. A vizsgálatok szerint több tízezer rajzot sikerült már a kártevőnek ellopnia, ezek döntő többsége perui számítógépekről továbbítódott illetéktelen kezekbe.
Az ESET igyekezett minden tőle telhetőt megtenni, ezért haladéktalanul felvette a kapcsolatot az érintett cégekkel, továbbá közzétett az AutoCAD-hez való ingyenes önálló mentesítő segédprogramot is.
Először az tűnt fel, hogy az ACAD/Medre.A AutoCAD-es rajzokat próbál meg küldözgetni egy kínai szolgáltató 163.com című oldalára, ami egyértelműen egy súlyos ipari kémkedés gyanúját veti fel. A fertőzött gépeken az AutoCAD 14.0 és 19.2 közötti verzió használata (AutoCAD 2000-től egészen az AutoCAD 2015-ig) esetén a kártevő kínai szerverekre továbbít minden egyes újonnan létrehozott .DWG kiterjesztésű rajzállományt.
„Maga a fertőzés az AutoLISP acad.lsp indítóállományát támadja meg. Ez a módszer a szellemi termékek létrehozói és jogos tulajdonosai számára kellemetlen; a szabadalmi eljárások intézése kapcsán is súlyos problémát okoz, ha még a termelés megkezdése előtt a bűnözők hozzáférhetnek különféle, akár stratégiai fontosságú tervekhez. Az sem elképzelhetetlen, hogy az eredeti szellemi tulajdonosok helyett majd a jogbitorló tolvajok fognak elsőként a szabadalmi hivatalhoz fordulni” – nyilatkozta Righard Zwienenberg, az ESET főmunkatársa. Az ESET folyamatosan kapcsolatban áll a perui hatóságokkal a további nyomozás segítésében.
Bár a kimutatásban nem szerepel Magyarország, itthon is érdemes résen lenni, hiszen a vírusok nem állnak meg az országhatároknál, és az AutoCAD termékei hazánkban is népszerűek. „Egy ilyen incidens az ipar minden területen beláthatatlan károkat okozhat” – hangoztatta Béres Péter, az ESET termékeit Magyarországon képviselő Sicontact Kft. vezető IT-tanácsadója. A gépek ellenőrzésekor a vírusirtó használata mellett árulkodó jel lehet az is, hogy a rajzállományokat tartalmazó mappákban „acad.fas” illetve „cad.fas” nevű állományok rejtőznek.
Az ACAD/Medre.A féregről további részletes információk itt.
Az ingyenes mentesítő segédprogram innen letölthető.