In China zijn deze week twee Trojaanse paarden ontdekt die het populaire tekenprogramma AutoCAD gebruiken om de startpagina van geïnfecteerde computers te wijzigen en advertenties te tonen. De malware is geschreven in AutoLISP en gecombineerd met Visual Basic for Applications (VBA).

Het grote voordeel voor malwaremakers om AutoCAD als platform te gebruiken is dat veel virusscanners de door AutoCAD gebruikte .fas-bestanden niet kunnen analyseren, waardoor de malware onopgemerkt blijft. De malware verspreidt zich via archiefbestanden met architecturale afbeeldingen. De Trojan-downloader in het archiefbestand downloadt vervolgens een andere AutoCAD-Trojan, die de startpagina van de browser aanpast en advertentiesites laadt.

Startpagina

De infecties zijn voornamelijk in China, India en Vietnam aangetroffen. Volgens Vigi Zhang van Kaspersky Lab is er in China veel geld te verdienen door websites die als startpagina in de browser staan ingesteld. Om meer bezoekers te genereren gebruiken deze websites vaak tussenpartijen die verkeer aanleveren. Zhang merkt op dat Trojaanse paarden die de startpagina wijzigen nu de meest voorkomende malware in China is.

Het is echter de eerste keer dat dit soort malware het AutoCAD-platform gebruikt. "Doordat het lastiger wordt om de beveiliging van anti-virusproducten te omzeilen zoeken malwaremakers nieuwe platformen om te misbruiken", zo stelt de analist. Of AutoCAD ook een populair platform zal worden om malware te verspreiden zal de tijd volgens Zhang moeten uitwijzen.