AutoCAD 활용해 악성코드 유포, 중국·인도·베트남 일대에서 발견
[보안뉴스 김경애] 최근 중국에서 사용자 브라우저의 시작 페이지를 특정 사이트로 변조해 웹트래픽을 수집할 수 있는 시작 페이지 악성코드가 유행하고 있어 사용자의 주의가 요구된다.

인터넷침해대응센터 침해사고대응단에 따르면 공격자들은 AutoCAD를 활용해 악성코드를 유포했으며, 해당 악성코드는 Trojan-Downloader.Acad.Qfas.b와 Trojan.Acad.Qfas.o로 주로 중국, 인도, 베트남 일대에서 발견되고 있다고 밝혔다.




해당 악성코드 파일은 확장자가 .fas인 AutoLISP 파일로 컴파일 되었으며, 해당하는 디컴파일러가 없기 때문에 분석이 어려워 대다수 백신 프로그램들의 탐지를 피할 수 있었다는 것이 침해사고대응단 측의 설명이다.

기본적인 동작과정은 Trojan-Downloader.Acad.Qfas.b가 Trojan.Acad.Qfas.o 파일을 다운로드 받은 후 Trojan.Acad.Qfas.o는 브라우저의 홈페이지를 특정 광고 사이트로 변경하는 역할을 한다.




AutoCAD로 Trojan-Downloader.Acad.Qfas.b 파일을 실행하게 되면 사본인 shxfont.fas 파일을 생성한 후, 다음 URL을 통해 Trojan.Acad.Qfas.o 파일을 다운로드한다.

Trojan.Acad.Qfas.o 파일은 시스템의 프로세스 리스트에서 인터넷 익스플로러, 구글 크롬과 같은 웹브라우저 프로세스가 있는지 검색한 후, 브라우저가 발견되면 홈페이지를 ‘http://www.hao.123.com/?tn=99182691_hao_pg’으로 변경한 뒤 새로운 브라우저 프로세스를 만들어 ‘hxxp://ap.zeqj.info/zl.html’을 방문한다.

‘hxxp://ap.zeqj.info/zl.html’는 ‘hxxp://www.sohutv484012.kangca.com/’로 리디렉션 하며 다시 ‘wenying888.com’으로 이동해 사용자들에게 많은 광고를 보여준다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>