一次手动xxAutoCAD病毒实践
建筑一室本周特约通讯员王斌供稿(0419-0425)
病毒特征
1.与CAD的dwg格式文件一同出现,以lsp为后缀
2.染毒后,AutoCAD启动时表现如下:
正常启动画面:
3.染毒后的AutoCAD,在每个dwg文件保存时,相应在文件夹都生成acaddoc.lsp文件,病毒扩大传播。
感染范围
AutoCAD R14-2010所有版本,包括天正建筑等。
传播途径
在dwg文件打开时,同目录的acaddoc.lsp自我复制到CAD启动文件中,并复制多份备份,使得病毒本体难以查杀。
软件查杀方式
经试验,院版诺顿、Macfee及NOD32等主流杀毒软件均可识别病毒代码,并及时xx。
病毒分析
AutoCAD病毒的编写使用的是AutoCAD自带的lisp语言,病毒源文件无加密,给lsp病毒分析和查杀带来了一定的便利条件。
应用工具
a.最强的文件索引工具:everything。体积小,搜索索引全面,几乎无延迟搜索海量文件。
b.纯文本编辑器:如Emeditor,不能使用Word,此处以Windows自带的记事本为例。
手工查杀步骤
a.关闭带毒的AutoCAD。
b.用记事本打开病毒源文件acaddoc.lsp,代码很多,对其感染模式不讨论,只看文件传播的部分,哪些文件易受感染,有针对性的xx。
c.病毒主要感染位置
4.使用everything搜索acaddoc.lsp并xx。删除病毒源文件,本体。
5.看病毒修改时间,xxacad.mnl文件中的病毒,直接拖到文件尾部,删掉附加的病毒源文件。
6.看病毒修改时间,查找已被感染的mnl和lisp文件,xxmnl/lsp文件中的病毒,直接拖到文件尾部,删掉附加的病毒源文件。
注意各文件的前部均为正常命令的语句。仅{zh1}呗附加了病毒语句,直接删除这些与病毒源文件相同的部分即可。
7.再次使用AutoCAD打开deg文件检查,病毒已成功xx。
几点建议
经搜索网上的相关信息,AutoCAD病毒已经经过了几代的演化,感染方式并没有很大改变。但是传染范围从早期的只在本文件夹中到感染CAD启动文件本体,乃至其他重要文件。虽然目前的病毒表现仍只限于病毒制造的大量垃圾文件,但以lisp语言本身的开放性,很难预计未来是否会出现更恶性的病毒,因此lsp病毒值得提高警惕性,相应的几条个人建议如下:
A.安装可靠的杀毒软件,避免“裸奔”。虽然现在传统病毒的逐渐式微,防木马和有害插件成为防毒的主流,但对特殊病毒的防护还是装一套正规杀毒软件,及时更新,定期查杀。虽然要占一定的系统资源和时间,但防祸于未然。
B.在日常工作中应养成良好的习惯,在工程进行时及时进行文件整理。保持工作文件夹一目了然。否则在文件交换中可疑文件很难发现而导致病毒混入。
C.AutoCAD中可执行的应用程序不止lsp一种,还有arx、vlx等格式的文件,在文件夹中发现未知文件时{zh0}及时清理以避免中招。
| 已投稿到: |
|
|---|
