AutoCAD是世界流行的建筑制圖工具，利用這個平臺的病毒不少，但修改主頁的木馬還是第一次出現(xiàn)。該木馬運行時會將用戶IE內核的瀏覽器首頁修改，重定向到新網站，從而制造有大批流量的假象。根據(jù)卡巴斯基安全網絡分析(KSN)顯示，這種威脅主要出現(xiàn)在中國、印度和越南。波及瀏覽器包括：遨游、360和搜狗。

　　這兩個木馬使用AutoLISP編寫，并被編譯成.fas文件。而目前還沒有通用的.fas文件的反編譯器，這就使得對木馬的逆向分析更為困難，所以這兩個木馬成功逃避了除卡巴斯基外的所有反病毒軟件的檢測。

　　木馬工作原理

　　Trojan-Downloader.Acad.Qfas.b負責下載Trojan.Acad.Qfas.o并將其運行。而Trojan.Acad.Qfas.o負責改變?yōu)g覽器主頁，運行瀏覽器，訪問其他廣告網站。

　　1. Trojan-Downloader.Acad.Qfas.b下載Trojan.Acad.Qfas.o。它通常被命名為acad.fas并打包進許多建筑制圖壓縮包中誘使相關用戶下載運行。當AutoCAD執(zhí)行這個文件，它會將自身復制為shxfont.fas并從http://***.isdun.com/jbbgxf/?f=zydz下載Trojan.Acad.Qfas.o。

　　2. Trojan.Acad.Qfas.o運行后會遍歷系統(tǒng)進程列表，尋找IE、QQ、360、搜狗、遨游等瀏覽器進程。找到后，該木馬會提取瀏覽器中地址欄的URL，看看它是否包含hao123.com，如果沒有，這個木馬會讓瀏覽器跳轉到http://www.hao123.com/?tn=***82691_hao_pg。該木馬還會定期打開一個新瀏覽器進程，訪問http://**.zeqj.info/zl.htm。然后修改注冊表，改變?yōu)g覽器主頁為http://www.hao123.com/?tn=***82691_hao_pg。為了改變搜狗瀏覽器的主頁，木馬還會修改搜狗瀏覽器的配置文件%userprofile%\appdata\Sougouexplorer\config.xml。而且它還會查看某些hips軟件或沙盒軟件的進程是否存在。如果存在，則會刪除自身。

　　3. http://www.hao123.com/?tn=***82691_hao_p中的***82691_hao_p是某hao123.com的推廣人的ID。hao123.com會按照此推廣人為網站帶來的流量和此推廣人分成。http://**.zeqj.info/zl.htm則更有意思，它會刷新瀏覽器使之跳轉到http://www.sohutv***012.kangca.com/…。然后再跳到wenying***.com。最后wenying***.com會顯示廣告頁，比如：

　　AutoCAD使用非常廣泛，AutoLISP語言也已經足夠強大，加上編譯后的.fas文件沒有反編譯器很難分析，這使得AutoCAD對于編寫傳播惡意軟件十分理想。黑客們在想盡一切辦法編寫傳播惡意程序、逃避安全軟件查殺，只有依靠強大可靠的安全解決方案才能免受威脅。