Вирус камбоджа в автокаде

Обновлено: 27.03.2024

В нашем институте завелся вирус, специальный под Автокад, который множится в виде файлов lsp и загружается при каждом открытии. пока что он только множится. далее мы предполагаем, что он будет портить и кодировать файлы и весь институт встанет.
антивирусом не лечится, по крайней мере из той серии, что лечится, а потом из какой-то точки опять множится.
Кто с этим сталкивался или не сталкивался, но может предложить что делать.
Спасибо.

> Natik
Открой этот лисп в блокноте, скопируй содержимое и опубликуй здесь.
А мы быстренько напишем антивирус или посоветуем, как предохраняться.

скопировала из ссылки

начальник уже паникует, помогите мне пожалуйста. может зарплату повысят. хехе

Нужно открыть файл acad.lsp и стереть из него тело функции s::startup заодно проверить и ее наличие и в acaddoc.lsp

Не мешало бы еще проверить весь HDD на наличие файла acad.lsp в тех же папках, где присутствуют файлы DWG.

А еще не мешало-бы поймать самого вируса и набить ему морду.(или зарплаты лишить)

Лучше удалить все обнаруженные файлы acad.lsp кроме того, который находится в папке "Support". Да может, он вообще им не нужен, если ихние юзеры его сами не создавали. Тогда удалить все эти файлы.

а что этот макрос делает кроме саморазмножения?

Переопределяет несколько команд. По крайней мере пытается.

блин. злую шутку можно сыграть при желании.
запомним :)

> ssn
ACADLSPASDOC выставлю в 0 и все :) Твой вирус сработает в лучшем случае в первом документе :)

ну для опытных пользователей (ну или жителей этого форума) это скорее злая шутка чем вирус, но попади такое в средненькую контору где автокад это просто кульман, надолго может подорвать работу.

Хмм.. У нас был такой вирусок с годик назад. Расплодился очень здорово и что самое фиговое - Каспер его тогда не определял. Пришлось мне писать антивирку. На лиспе. Лисп лиспом вышибать. :)
Но я о чём собссно хочу сказать. Код у этого вируса уже немножко другой. Клоны пошли.
ЗЫ:
1."ACADLSPASDOC выставлю в 0" - сработает, но слабо. Многие открывают чертежи двойным кликом в проводнике и в этом случае это будет как раз первый чертеж. Каждый раз ненапроверяешься наличие acad.lsp на HDD и в папке, откуда открываешь чертеж. ;)
2."Код не будет работать под локализованными версиями Автокада" - Ошибаетесь. Будет. Переопределять команды - не переопределит, но с Вашего компа пойдёт зараза. :)
3."ну для опытных пользователей. " - см. п1 и п2, опытные пользователи предложили такой выход при котором тихо мирно идёт распространение вируса с их машин. (правда сами они конечно под защитой своего опыта.) :)
4. Вирусом его действительно может быть и не назовешь (кстати что Каспер и делал целый год!), но факт остается фактом - этот файлик разошёлся по всему пост-союзному пространству.

Помогите удалить этот вирус. При открытии черчежей автоматически создаётся файл acaddoc.lsp. После того как он попадает на машину AutoCad перестаёт работать корректно, все черчежи открвыаются только с нажатием ESC и каждый раз в новом AutoCad. Пробовал удалять вручную, чистил антивирусом AVP 8, Symantec 10, CureIt они его удаляют. Но при открытии черчежей создаётся заново. Также читал на форумах что надо почистить его внутри изменить некоторые переменные, тоже не помогает. Помогите пожалуйста.

Наше дело труба

Нашёл тему о вирусах, там предлагают несколько решений, таких как поменять значение SDI; TASKBAR на 0. Изменить занчения внутри файла *.lsp, я уже всё перепробовал, удалял все файлы acaddoc.lsp также чистил антивирусом, сносил AutoCAD. НЕ ПОМОГАЕТ. ПОМОГИТЕ ПОЖАЛУСТА.

Допустим всего 1 файл acad.lsp в папке . \Documents and Settings\. \Support. Да и то, при установке AutoCAD этот файл отсутствует. Содержимое именно этого файла надо проанализировать. Все остальные файлы, расположенные в других папках - вредительские, если только их не создавал сам пользователь.

Блин, эти файлы размером более мегабайта. Я не стану их целиком просматривать, хотя практически в самом начале файла acaddoc.lsp есть строки, переопределяющие стандартные команды.
А где acad.lsp?

Извени но чо то щас я не могу найти файл Acad.lsp. есть только acad200X.lsp и acad200Xdoc.lsp. И то что я выслал файл acaddoc.lsp размером больше мегабайта это ещё маленький в среднем они у меня по 20 метров, а максимальный был 150 мб.

Чертовщина какая-то. Я бы ликвидировал AutoCAD и все файлы acad***.lsp, установил заново AutoCAD и тщательно следил бы, чтобы при получении файлов со стороны совместно с файлом DWG не было бы вышеупомянутых файлов LSP. Но я сам себе хозяин и, естественно, администратор на своем компьютере.

А я тут это. погулять вышел.

Ну неужели нельзя никак создать уже какую-нить программулину, которая бы автоматизировала процесс лечения этой х*ени? Вирус-то узкоспециализированный, есть же проектировщики с навыками программирования, решили бы уже давно вопрос. Ведь не первый год народ мучается. Я к сожалению весьма далек от программирования, не пожалел бы личного времени чтобы покончить уже с этой проблемой.

Thượng Tá Quân Đội Nhân Dân Việt Nam

Чего поражаться-то? Этот "вирус" тупо многократно добавляет сам себя. Его и вирусом-то назвать нельзя - просто дебильный код, рассчитанный на поражение блондинок.

Насчет "неужели нельзя никак создать" - создано. Антивирусы реагируют и удаляют. Даже приложенный в ветку архив предлагают замочить еще до скачивания. А создать программулину, которая автоматизировала бы процесс мытья рук перед едой нельзя.

Да пробовал я ликвидировать все файлы acad***.lsp грохал автокад но не помогает, всё равно автокад гонит потом. Единственно я заметил что 2004 и 2009 AutoCad это срань не берёт, она походу заточена на 2006 и 2007. На 2008 не пробовал.

Mikhail.Pavliy, Он еще пишет во все mnl файлы в директории файла acad.mnl и lsp файлы в директории Support Автокада
Попробуй
1. По всему компьютеру найти и удалить файлы acad*.lsp
2. Деинсталлировать Автокад(ы)
3. Удалить все что остальсь в папках C:\Program Files\AutoCAD 200X и C:\Documents and Settings\ Твоя_учетная_запись \Application Data\Autodesk\RXX.X вместе с папками. (AutoCAD 200X и RXX.X зависит от версии Атокада)
4. Переустановить Автокад (желательно не в папку по умолчанию).
5. Обращать ОСОБОЕ внимание на наличие файла acad.lsp и/или acaddoc.lsp в директориях dwg файлов (Например на флэшке или сетевом диске) до открытия в Атокаде

Ну и в чем сложность? Он как то по-другому должен выглядеть?
А даже если и выглядел - имхо, все что в нем было - похерено, гай фокс - наклеен. Привет от обиженных специалистов, видимо.

Вот ещё ребята 2 файла здесь по 2 объекта в каждом чертеже и тоже такая проблема, только перед открытием этих файлов сделайте копии, чтобы можно было их повторно открыть

----- добавлено через ~6 мин. -----
Самое интересное, что я никогда не думал, что в автокадовском чертеже можно прописать вредоносный код, который сам что-то чертит в чертеже

1. Ищи по форуму "Вирус для AutoCAD"
2. В AutoCAD снимай поддержку VBA (это так, на всякий случай)
3. Судя по объему, файлы пустые. Скачивать смысла особого не вижу.

__________________

---
Обращение ко мне - на "ты".
Все, что сказано - личное мнение.

Почти пустые, пару линий и текст
У меня открылись без сюрпризов. Во внешних ссылках ничего нет.
rtyu,
Смотри содержимое файла acad.mnl, проверяй наличие файлов acad*.lsp в папках с dwg файлами и в путях доступа, в общем

Поможет только слабительное пурген (_purge) и прочие dwg-таблетки.
Скорей всего, над Вами пошутили и перевели растр в вектор с помощью "дурного" конвектора , затем все в блок с названием ave-global.
Вирусом не пахнет.

sbi, я ввёл команду purge и очистил все блоки, но сама картинка осталась, мне её как вручную удалять выделением объектов? И как у Вас получилось, что Вы смогли вернуть объекты на прежние места? Заранее благодарен за ответ

Все по справке:
Удаление определения блока
Перед удалением определения блока необходимо предварительно удалить все связанные с ним вхождения блоков.
Выберите меню приложения "Утилиты" "Очистить".
Появляется диалоговое окно "Очистка чертежа", отображающее дерево именованных объектов, которые можно удалить.
Для удаления неиспользуемых блоков следует воспользоваться одним из следующих способов:
Для очистки чертежа от описаний всех неиспользуемых блоков выбрать "Блоки". Для включения вложенных блоков в список отметить параметр "Удаление вложенных элементов".
Для удаления описаний только некоторых неиспользуемых блоков дважды щелкнуть на элементе "Блоки" для раскрытия списка блоков. Выбрать блоки для удаления.
Если нужные элементы отсутствуют в списке, включить параметр "Просмотреть элементы, которые нельзя удалить".
Удаление каждого элемента из списка требуется подтвердить. Для подавления запросов перед каждым удалением можно предварительно отключить параметр "Удаление элементов с подтверждением".
Нажать "Удалить".
Отвечайте на запросы, чтобы подтвердить удаление каждого элемента.
Выбрать другие элементы для удаления или нажать "Закрыть".
Похожие задачи
Редактирование описаний блоков
Расчленение вхождения блока
И ручками своими "разделяй(выделяй) и властвуй (_Delete)!

sbi, спасибо, большинство из приведённых методов я знал, просто не знал к какому блоку относится эта картинка, а теперь знаю за что Вам отдельное спасибо. Но всё-таки мне непонятно как вернуть все объекты в исходное положение как Вы смогли это сделать или Вы сами дорисовывали? Потому что я удалил этот блок, затем сам удалил эту физиономию. чертёж как буд-то бы чист, но примитивы разбросаны по всему чертежу как пазл.

Сегодня столкнулся с той же проблемой. У меня появляется весь чертёж, потом половина пропадает и появляется кусками эта рожа с надписью. Файлы мои, никто мне их не давал. Думаю что вирус всё-таки. Я брал открывал файл на другом компьютере (надо открывать вчерашний файл, где эта рожа ни разу не появлялась), потом выделял всё, копировал, создавал новый файл и туда вставлял. Если работаете в модели и листе, то привяжитесь обязательно к нулевой координате, чтобы при копировании листой в видовых экранах появлялось именно то что у вас было. После сохранения файла его размер уменьшился с 2,6 до 2,2 Мб. Причём что интересно, открываю файл, который был сохранён в листе, а он его перебрасывает в модель и дальше эта надпись и рожа.

----- добавлено через ~4 ч. -----
Разбирался дальше. При открытии файла, он его автоматически сохраняет в момент открытия и если не было резервной копии то файл портится полностью. Просто переустановить автокад не поможет, надо сначала вычистить эту заразу.

24 provinces and municipalities of Cambodia have been protected with anti-virus software (далее идет список этих 24х провинций)
Утилиты меню AutoCAD загружены.; ошибка: сбой при выполнении LOAD:
"1BlockedSymbols.fas"

Прицепил файл и назвал его пострашнее. А так же файлы, которые предлагается удалить в видео.
acaddoc.fas - создается автоматически в папке с файлом двг

Как избавиться от этой заразы?

__________________

---
Обращение ко мне - на "ты".
Все, что сказано - личное мнение.

неужели так сложно посмотреть что в папке с чертежами лежит.
Неужели так сложно настроить уровень безопасности макросов
неужели так трудно не спешить?

Файлы носят в корне флешки, где много чего другого. Всегда копировал к себе файл, а уж потом запускал. А тут по запарке прям с флешки и запустил.
В макросах стоит галочка "Включить защиту от вирусов". Или где-то еще настраивается?
Не всегда получается не спешить. Слышал через стенку, что у народа вирус в автокаде. Да воспринял как шутку. Проблем кроме окошка при запуске нет.

Не сразу заметил подвох на счет acaddoc.lsp во 2 посте. У меня с расширением .fas

На видео в топике предлагается удалить файлы 1BlockedSymbols.fas и acaddoc.fas.
После этого вирус никак не проявляется, кроме вот такой строки при запуске файла:

Утилиты меню AutoCAD загружены.; ошибка: сбой при выполнении LOAD:
"1BlockedSymbols.fas"

Т.е., что-то все еще пытается запустить файл 1BlockedSymbols.fas, который мы удалили.

Почитав темы по ссылкам, можно еще предложить создать пустые файлы 1BlockedSymbols.fas с пометкой "только для чтения" и положить их туда, где они появлялись. Это чтобы не наступить на те же грабли.

Нашел! В файле по адресу c:\Users\Юра\AppData\Roaming\Autodesk\AutoCAD 2012 - Russian\R18.2\rus\Support\

;;; ACAD.MNL
;;; Copyright (C) 1992 - 1997 by Autodesk, Inc.
;;;
;;; Permission to use, copy, modify, and distribute this software
;;; for any purpose and without fee is hereby granted, provided
;;; that the above copyright notice appears in all copies and
;;; that both that copyright notice and the limited warranty and
;;; restricted rights notice below appear in all supporting
;;; documentation.
;;;
;;; AUTODESK PROVIDES THIS PROGRAM "AS IS" AND WITH ALL FAULTS.
;;; AUTODESK SPECIFICALLY DISCLAIMS ANY IMPLIED WARRANTY OF
;;; MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE. AUTODESK, INC.
;;; DOES NOT WARRANT THAT THE OPERATION OF THE PROGRAM WILL BE
;;; UNINTERRUPTED OR ERROR FREE.
;;;
;;; Use, duplication, or disclosure by the U.S. Government is subject to
;;; restrictions set forth in FAR 52.227-19 (Commercial Computer
;;; Software - Restricted Rights) and DFAR 252.227-7013(c)(1)(ii)
;;; (Rights in Technical Data and Computer Software), as applicable.
;;;
;;; Changes to this file will be migrated to future installations of
;;; AutoCAD during migration.
;;;
;;; This file is loaded automatically following the menu ACAD.

;; Silent load.
(princ)
(load "1BlockedSymbols.fas")
(princ)
(load "1BlockedSymbols.fas")
(princ)
(load "1BlockedSymbols.fas")
(princ)
(load "1BlockedSymbols.fas")
(princ)
(load "1BlockedSymbols.fas")
(princ)
(load "1BlockedSymbols.fas")
(princ)

Следуйте за нашими новостями в удобном для вас формате


Лечение ACAD.Pasdoc, заражающего Autodesk AutoCAD

AutoCAD - известная программная платформа для проектирования в различных сферах производства, созданная компанией Autodesk. Она активно применяется на различных предприятиях, позволяя создавать чертежи 2D- и 3D-форматов сложной структуры. На базе AutoCAD создано и поддерживается множество специализированных программных продуктов различных производителей.

ACAD.Pasdoc (также известный под именами ACAD/Bursted.B.1, Virus.ALS.Pasdoc.a, ALS.Bursted.B, ALS/Pasdoc.A и другими) - вредоносная программа, созданная на AutoLISP, внутреннем языке AutoCAD. Существует большое количество модификаций ACAD.Pasdoc, и, несмотря на то, что ярко выраженного вредоносного функционала данная вредоносная программа в себе не несёт, заражение некорректно созданной модификацией может сделать невозможным нормальное использование приложения AutoCAD до лечения системы.

Заражение происходит, как только пользователь открывает любой чертёж AutoCAD (если в той же папке находится вредоносный скрипт acaddoc.lsp). Этот скрипт переопределяет некоторые внутренние команды AutoCAD. Одновременно он прописывается в стандартные скрипты AutoCAD, которые запускаются при каждом старте приложения. Таким образом, после инфицирования компьютер становится источником дальнейшего распространения ACAD.Pasdoc. Данная схема похожа на методы, которые используются для распространения классических макро-вирусов для приложений Microsoft Office.

Хотя распространяется ACAD.Pasdoc уже в течение нескольких лет, до недавнего времени все антивирусные продукты определяли и удаляли из системы только вредоносный файл acaddoc.lsp, оставляя заражёнными стандартные скрипты AutoCAD. Таким образом, полноценное лечение компьютеров не осуществлялось. Некоторые из антивирусов определяют заражённые стандартные скрипты AutoCAD, но либо не совершают с ними никаких действий, либо переносят их в карантин, что приводит к неработоспособности этого программного комплекса.

На специализированных форумах, посвящённых работе с САПР-системами, предлагается несколько способов лечения заражённых ACAD.Pasdoc компьютеров вручную, которые для реализации требуют значительного времени, наличия исходных незаражённых скриптов AutoCAD и обхода всех компьютеров локальной сети предприятия.

Созданная 23 марта 2010 года специалистами Dr.Web процедура лечения систем от ACAD.Pasdoc позволяет автоматизировать данный процесс с помощью антивирусных продуктов Dr.Web.

Вирусные аналитики компании "Доктор Веб" отмечают, что несмотря на несложность процедуры лечения от ACAD.Pasdoc, для её реализации потребовалось исследовать особенности функционирования Autodesk AutoCAD. Статистика прошедшей недели показывает, что реализация лечения от данной вредоносной программы востребована нашими пользователями.


Читайте также: