[dextron3]

Вот уже целый год во все проектных фирмах все автокадовские файлы заражены вирусом (архив прилагается), но скорее всего в архиве производная от него!

Принцип действия:

При запуске любого автокадовского чертежа в этой же директории создается файл acad.lisp в котором прописывается вредоносный код вируса, сам лисп файл влияет на определенные команды автокада, ну допустим (взрывчатка не работает)

Данный вирус записывается на флешку в авторан, и переносится соотвественно с одного офиса на другой

Касперский его не видет вплоть до 7 версии

КТО СТАЛКИВАЛСЯ С ТАКИМ ВИРУСОМ И КАК ЕГО ЛЕЧИТЬ???
:idea: :idea: :idea:
[ATTACH]1180033030.rar[/ATTACH]

Тем, кому не прочитать тему:
http://forum.dwg.ru/showpost.php?p=218027&postcount=36
http://forum.dwg.ru/showpost.php?p=262114&postcount=52
http://forum.dwg.ru/showpost.php?p=796334&postcount=88
Для понимания механизма работы "вируса": http://forum.dwg.ru/showpost.php?p=1...&postcount=130
Для чистки следов вируса: http://autolisp.ru/wp-content/upload...acad-virus.lsp + http://wp.me/p4lEOS-GR

[Кулик Алексей aka kpblc]

Эта "злая шутка, вырвавшаяся за пределы офиса", уже и до Казахстана дошла - мне оттуда с полгода назад примерно на это дело жаловались

[Rost]

Спасибо!
Весч оч полезная, будем ее прилагать к файлу!

[AIK]

Спасибо! Буду знать кому нельзя заказывать халтуру!

[VVA]

Пользуйтесь локализованным Автокадом, и никакая зараза к вам не пристанет.
Это я к тому, что команды записаны без префикса и в русском Автокаде выполняться не будут.

[gh5rjn]

Цитата:

Сообщение от VVA ... в русском Автокаде ...

Это в Компасе что ли. Тамто точно не будут.

[Krieger]

Подумаешь, команду переопределили...
Можно ведь было и другое прописать в прогу, например:
_select all,
_erase все на@ен,
_purge на всякий пожарный,
_qsave,
Ну и кад закрыть после этого...

[Om81]

Цитата:

Сообщение от Кулик Алексей aka kpblc Эта "злая шутка, вырвавшаяся за пределы офиса", уже и до Казахстана дошла - мне оттуда с полгода назад примерно на это дело жаловались

Так вроде:

Цитата:

dextron3 Фотограф Зарегистрирован: 01.01.2007 Сообщения: 90 Откуда: г. Алматы

- как раз)
Мне одно не очень понятно - теперь и фотографы увлекаются Автокадом? Так Фотошоп вроде удобней.. и РАВы понимает)
=))

[Alan]

Да было уже это. Немного обсуждали.
http://www.autocad.ru/cgi-bin/f1/board.cgi?t=26139Fh

[T-Yoke]

Цитата:

Сообщение от shnn 2 T-Yoke вот что: Код: [Выделить все] (command "undefine" "explode") (command "undefine" "xref") (command "undefine" "xbind") ...

Я так и подумал, что дело в переопределении команд, спасибо!

[Леонид Ильич]

Цитата:

Сообщение от Pilot Здравствуйте! Я - компьютерный вирус. Человек, меня написавший, как программист ничего из себя не представляет, и я не могу нанести вреда Вашему компьютеру. Поэтому, прошу Вас, сами удалите со своего жесткого диска какой-нибудь важный файл, а потом разошлите меня по электронной почте своим друзьям и коллегам.

Вирус с ошибкой: нужно сначала рассылать по почте, а уже потом стирать файл.

[Shoorup]

Я так и не понял, как вирус распостраняется? У нас постоянно он где-то проявляется - вывести не могут. Хотя антивирус его находит - но приходиться запускать чтоб весь комп проверил - он чтото удалит и все. Хочетелолсь бы знать как он распостраняется и как работает. Может есть ручная защита или ручное удаление. Антивирус долго гоняет и тормозит машину.

[Profan]

Цитата:

Я так и не понял, как вирус распостраняется?

Если речь идет о файле acad.lsp, то он распространяется (копируется) автоматически при открытии любого файла DWG. Таково его свойство. AutoCAD ищет этот файл в путях доступа и в рабочей папке и неминуего сам запускает его. Для удаления его не надо даже запускать антивирус. Можно хотя бы в Total Commander по маске найти эти файлы и уничтожить. Если только он не используется для служебных целей. Тогда можно один файл из папки Support оставить и вычистить его.

[Shoorup]

Если я правильно понял "вирус" работает так:
Для начала нужен файл acadapp.lsp - он записывается в C:\Documents and Settings\user\Application Data\Autodesk\AutoCAD 2008\R17.1\enu\Support может програмно а може вручную. Потом вместе с файлом идет acad.lsp в котором есть копия этого acadapp.lsp. И при удалении acad.lsp он востанавливается и готов к применению. Т.е. "не зараженный " компутер запустив единожды acad.lsp делает копию acadapp.lsp. Так?

[Profan]

Для запуска acad.lsp не нужно никакого файла acadapp.lsp.

[Shoorup]

Разобрался.
Для работы "вируса" нужен только файл acad.lsp (архив см. 1 посте)
При запуске акада выполняется код который там прописан. Но главное это то что в папке Support появляются acad.lsp с кодом

Код:

[Выделить все]

(load"acadapp")(princ)

который загружает acadapp.lsp.
Ну и получается удаляй не удаляй из рабочей папки файл acad.lsp он всеравно восстановиться из acadapp.lsp
Я конечно не америку открыл. Но во всяком случае схема понятна

[VVA]

Про тот же вирус на caduser.ru
http://www.caduser.ru/cgi-bin/f1/board.cgi?t=39100wW
1. Если для своих задач не используешь acad.lsp, то в Тотал командоре ищешь все файлы acad.lsp и acadapp.lsp и удаляешь.
2. Редактируешь свое меню, перед переопределяемыми командами ставишь точку
- вместо _EXPLODE - _.EXPLODE
- вместо _XREF - _.XREF
- вместо _XBIND - _.XBIND
Точка перед именем команды вызывает оригинальную команду Автокада, даже если она была до этого 100 раз переопределена.

[Shoorup]

У меня этот вирус всеравно не работал. Акад русский и команды эти в сад идут. Просто всем надоели эти файлы acad.lsp в папках.

[VVA]

Ну так примени п.1

[Shoorup]

От вируса избавиться не проблема (мне во всяком случае). Но проблема сделать так чтоб он у неопытных пользователей не распостранялся. Массово нужно сделать так чтобы "вирус" вообще не мог ничего сделать.

[Солидворкер]

Цитата:

Сообщение от Shoorup От вируса избавиться не проблема (мне во всяком случае). Но проблема сделать так чтоб он у неопытных пользователей не распостранялся. Массово нужно сделать так чтобы "вирус" вообще не мог ничего сделать.

Для этого его и внесли в антивирусные базы.