smomo
注册用户
积分 146
发帖 141
注册 2008-1-6
|
#1 关于CAD专杀
看来微点终于对cad病毒有所关注了,不过这个cad专杀功能有限,应该仅可以清除较早的cad病毒,对新的病毒即使能处理,也会造成cad无法运行。
使用acad.lsp和acaddoc.lsp传播cad病毒,是比较早的简单的手段,现在的cad病毒,一部分是acad.fas文件(编译的vb文件)、acad.vlx(编译的lisp文件),还有一部分是acaddoc.lsp,但与原来的不同,该acaddoc.lsp会搜索acad软件路径中的所有lsp文件,将该代码加入lsp中,而且运行一次加一次,一个lsp文件可以加到几百兆,遇到这种情况,由于lsp文件中代码剥离困难,用专杀肯定会造成acad无法运行。
现在acad在设计行业应用普遍,涵盖了建筑、机械、化工、水利、交通等多个领域,虽然是专业软件,但由于是基础平台软件,所以使用范围很大,cad病毒对办公资源造成的浪费不可小视。
由于cad病毒以解释执行为主,很多就是明文代码,变化较多,防御cad病毒最好的办法还是主动防御,实际上cad病毒原理比较简单,凡是传播cad病毒,基本上以acad.lsp,acaddoc.lsp,acad.fas,acad.vlx等几个文件为主,而且凡是新的dwg文档文件夹下,只要有这几个文件的,可以肯定是病毒无疑,直接删除就行了,连判断代码都不用,判断行为就是:只要acad运行时,在读入*.dwg文件前,有加载该dwg文件夹下acad.lsp,acaddoc.lsp,acad.vlx和acad.fas的行为,就应该阻止,并删除上述三个文件;同时,任何向dwg文档文件夹下写入上述文件的行为,也应予禁止。
当然,这对原来系统已经中毒的情况就无效,只能通过专杀解决了。但是可以避免通过U盘再次传播,因为dwg文档下没有这几个文件,自然谈不上传播了。
[ Last edited by smomo on 2014-8-19 at 23:17 ]
| |
※ ※ ※ 本文纯属【smomo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
