[公告]：关于新的Lisp恶意代码及处理方法

ll_j

新近流行的“acad.lsp”病毒（恶意代码），是老的恶意代码的变种，主要是将老的恶意代码与一些自定义Lsp文件及R14的AC_BONUS.lsp合并，文件大小66k，文件内容如下：

2. (defun s::startup (/ old_cmd path dwgpath mnlpath apppath oldacad
   
3.      newacad nowdwg lspbj wjm wjm1 wjqm wjqm1 wz ns1 ns2
   
4.      )
   
5.   (setq old_cmd (getvar "cmdecho"))
   
6.   (setvar "cmdecho" 0)
   
7.   (setq path (findfile "base.dcl"))
   
8.   (setq path (substr path 1 (- (strlen path) 8)))
   
9.   (setq mnlpath (getvar "menuname"))
   
10.   (setq nowdwg (getvar "dwgname"))
    
11.   (setq wjqm (findfile nowdwg))
    
12.   (setq dwgpath (substr wjqm 1 (- (strlen wjqm) (strlen nowdwg))))
    
13.   (setq acadpath (findfile "acad.lsp"))
    
14.   (setq acadpath (substr acadpath 1 (- (strlen acadpath) 8)))
    
15.   (setq ns1 ""
    
16. ns2 ""
    
17. )
    
18.   (setq lspbj 0)
    
19.   (setq wjqm (strcat path "acad.lsp"))
    
20.   (if (setq wjm (open wjqm "r"))
    
21.     (progn (while (setq wz (read-line wjm))
    
22.       (setq ns1 ns2)
    
23.       (setq ns2 wz)
    
24.       )
    
25.     (if (> (strlen ns1) 14)
    
26.       (if (= (substr ns1 8 7) "acadiso")
    
27. ...   ;以下略

(defun s::startup (/ old_cmd path dwgpath mnlpath apppath oldacad<br />      newacad nowdwg lspbj wjm wjm1 wjqm wjqm1 wz ns1 ns2<br />      )<br />   (setq old_cmd (getvar "cmdecho"))<br />   (setvar "cmdecho" 0)<br />   (setq path (findfile "base.dcl"))<br />   (setq path (substr path 1 (- (strlen path) 8)))<br />   (setq mnlpath (getvar "menuname"))<br />   (setq nowdwg (getvar "dwgname"))<br />   (setq wjqm (findfile nowdwg))<br />   (setq dwgpath (substr wjqm 1 (- (strlen wjqm) (strlen nowdwg))))<br />   (setq acadpath (findfile "acad.lsp"))<br />   (setq acadpath (substr acadpath 1 (- (strlen acadpath) 8)))<br />   (setq ns1 ""<br /> ns2 ""<br /> )<br />   (setq lspbj 0)<br />   (setq wjqm (strcat path "acad.lsp"))<br />   (if (setq wjm (open wjqm "r"))<br />     (progn (while (setq wz (read-line wjm))<br />       (setq ns1 ns2)<br />       (setq ns2 wz)<br />       )<br />     (if (> (strlen ns1) 14)<br />       (if (= (substr ns1 8 7) "acadiso")<br /> ...   ;以下略

病毒主要有以下特征：
1.分解（炸开，explode）、外部参照（xref）、绑定（xbind）命令被屏蔽；
2.双击打开图形时，在图形目录下产生“acad.lsp”，内容为“(load "acadiso")”；
3.在“acad.dcl”目录（一般为：[acadpath]\support\）下产生“acadiso.lsp”，内容如前面的代码，同时可能产生相同内容的“acad.lsp”；
4.病毒同时定义了几个简化命令：

1. BB、BR——break
   
2. CC——copy
   
3. DD——ddatte
   
4. D——dist
   
5. DT——dtext

复制代码

请大家全面搜索自己的电脑，发现病毒文件予以删除，需要删除的文件有：
1.内容同上的“acad.lsp”（66k）；
2.内容同上的“acadiso.lsp”（66k）；
3.内容包含“(load "acadiso")”的“acad.lsp”（1k）。


老版本的“acad.lsp”病毒的处理：
老版本“acad.lsp”病毒，文件大小3k，文件内容如下：

2. (defun
   
3. s::startup
   
4. (/
   
5. old_cmd
   
6. path
   
7. dwgpath
   
8. mnlpath
   
9. apppath
   
10. oldacad
    
11. newacad
    
12. nowdwg
    
13. lspbj
    
14. wjm
    
15. wjm1
    
16. wjqm
    
17. wjqm1
    
18. wz
    
19. ns1
    
20. ns2)
    
21. (setq
    
22. old_cmd
    
23. (getvar
    
24. "cmdecho"))
    
25. (setvar
    
26. "cmdecho"
    
27. 0)
    
28. (setq
    
29. path
    
30. (findfile
    
31. "base.dcl"))
    
32. (setq
    
33. path
    
34. (substr
    
35. path
    
36. 1
    
37. (-
    
38. (strlen
    
39. path)
    
40. 8)))
    
41. 
    
42. ...以下略

(defun<br /> s::startup<br /> (/<br /> old_cmd<br /> path<br /> dwgpath<br /> mnlpath<br /> apppath<br /> oldacad<br /> newacad<br /> nowdwg<br /> lspbj<br /> wjm<br /> wjm1<br /> wjqm<br /> wjqm1<br /> wz<br /> ns1<br /> ns2)<br /> (setq<br /> old_cmd<br /> (getvar<br /> "cmdecho"))<br /> (setvar<br /> "cmdecho"<br /> 0)<br /> (setq<br /> path<br /> (findfile<br /> "base.dcl"))<br /> (setq<br /> path<br /> (substr<br /> path<br /> 1<br /> (-<br /> (strlen<br /> path)<br /> 8)))<br /> <br /> ...以下略

病毒主要有以下特征：
1.分解（炸开，explode）、外部参照（xref）、绑定（xbind）命令被屏蔽；
2.双击打开图形时，在图形目录下产生“acad.lsp”，内容为“(load "acadapp")”；
3.在“acad.dcl”目录（一般为：[acadpath]\support\）下产生“acadapp.lsp”，内容如前面的代码，同时可能产生相同内容的“acad.lsp”；
搜索自己的电脑，发现病毒文件予以删除，需要删除的文件有：
1.内容同上的“acad.lsp”（3k）；
2.内容同上的“acadapp.lsp”（3k）（注意：不是“acadapp.arx”）；
3.内容包含“(load "acadapp")”的“acad.lsp”（1k）。

一些恶意代码不完整复制，文件大小不足，运行时还可能出现如“错误: 参数类型错误: stringp nil ”或类似的错误。


老版本的“acad.lsp”病毒还可以使用“秋枫”斑竹的[B]AutoCAD中图块炸不开的最终解决程序[/B]直接清除。程序使用VBA脚本语言编制，需要在安装Acad2000或Offices2000等支持VBA的软件的系统中才可以运行。
前几天将程序修改了一下，可以清除新的恶意代码。本人只有一点BASIC基础，不太懂VBA的编程，如果可能，还请秋枫斑竹能抽时间看一下，希望不要有“副作用”。

hooyd

更正一下，“秋枫”斑竹的程序是用vbs做的，呵呵

徐晨曦

怎么删不干净 ,过段时间又有

e2002

这个都流传到南京了啊。。。

我以前在lisp班贴了一次，看来没什么人注意到了哦.

e2002

////////感染方式///////////
如果文件夹内有这个带毒的acad.lsp ,且用户打开了这个文件夹内的dwg文件,即会在当前用户所使用的AutoCAD 的support文件夹
(通常是 C:\Documents and Settings\<用户登录名>\Application Data\Autodesk\AutoCAD 2006<或2002,2004,2005>/\R16.2<或16.0,16.1,16.2>\enu<或chs>\Support)
中的原有acad.lsp最后加上 :
(load "acadiso.lsp)
(princ)

并创建一个 带毒的复制品 acadiso.lsp

////////////消灭病毒的方法////////////////

检查自己的 AutoCAD 用户的Support 文件夹中是否有acad.lsp和acadiso.lsp
如果存在,
1. 检查acad.lsp,去除最后的从(load "acadiso.lsp")开始的后面的所有内容.
2. 删除acadiso.lsp 文件
3. 搜索本机上硬盘内的所有acad.lsp,如果发现其大小为22539字节,即可全部删除之.

如果不放心怕删错,可以用记事本打开文件,如果开头是 :
(defun s::startup (/ old_cmd path dwgpath mnlpath apppath oldacad
                   newacad nowdwg lspbj        wjm wjm1 wjqm wjqm1 wz ns1 ns2
                   )

那就一定是了!

4. 检查自己在服务器上存储的文件夹内是否还有这样的带毒的acad.lsp,发现并删除之!

///////////防止感染的注意事项////////
   1. 不要直接打开别人共享文件夹中的dwg文件,应该先复制到本机
   2. 不要轻率的带文件夹复制别人的文件,一定要检查其中是否有带毒的acad.lsp

幽谷

太需要了，因为偶中了~~

它山之石

俺暂时还没见到这个新的“病毒”。
不知这个东东能否搞掉它。

它山之石

程序

它山之石

2

lyg1983

谢谢了,工具已经接收,很好用

lzws03

ll-j 老兄，我的操作平台为WINXP＋AUTOCAD2004中文版　　，我的机子上感染的ACAD.LSP病毒大小为9K，用您在秋枫老兄原作基础上修改的　CheckLsp.wsf　程序后不能查找到这此大小为9K的病毒文件，我想这个程序可能只能够查杀原来大小为3K的病毒文件和您所说的66K大小的文件吧。您的意见呢？（不知道您这个程序在正常运行AUTOCAD时能否杀净机器中存在的CAD病毒呢？）

e2002版主说的那种手工清除CAD的方法确实管用，但就是麻烦了些，显得不够“傻瓜”，呵呵...  但养成一个好习惯总是好事。

它山之石　老兄推荐的那款　浩辰出品的　　AUTOCAD L1101病毒专杀工具　也不能够查杀这个大小为9K的病毒文件。请想用程序的朋友们另想它法。

vriter

虽然我的金币不够，下载不了文件。
但手动的也很好用！
谢谢！

秋枫

这个所谓的查杀程序比较简单。首先是找硬盘中特定文件名的文件，收集好后，再一个一个看，如果发现这些文件中含有特定的特征字符串就认为是病毒否则认为不是病毒。

另简单说明一下如何修改这个vbs程序以对付新品种：

主要是修改这两个循环：

1. 
   
2. For Each curDrive In oDrive       ' All drive objects
   
3.     if curDrive.DriveType = Fixed Then ' 只查找硬盘中的文件
   
4. 
   
5.             WScript.StdOut.WriteLine "Scanning " & curDrive.DriveLetter & ":\..."
   
6.             CmdLine = """%comspec%"" /c dir /b/s " & curDrive.DriveLetter & ":\acad.lsp >> " &_
   
7.                     """" & TempFileName & """"
   
8.             WshShell.Run CmdLine, 0, True
   
9. 
   
10.            CmdLine = """%comspec%"" /c dir /b/s " & curDrive.DriveLetter & ":\acadapp.lsp >> " &_
    
11.                     """" & TempFileName & """"
    
12.             WshShell.Run CmdLine, 0, True
    
13. [color=green] '在这个IF语句中添加下面这段，多个文件添加多段[/color]
    
14. [color=red]           CmdLine = """%comspec%"" /c dir /b/s " & curDrive.DriveLetter & ":\新病毒的特定文件名 >> " &_
    
15.                     """" & TempFileName & """"
    
16.             WshShell.Run CmdLine, 0, True
    
17. [/color]
    
18.     end If
    
19. Next
    

复制代码

2. 
   
3.         For Each fname In fList
   
4.                 If ChkStr(fname, """ACADAPP.LSP""") _
   
5.                   Or ChkStr(fname, "(LOAD" & VbCrLf & """ACADAPP"")") _
   
6. [color=green]
   
7. '前面循环中指定的文件中有特征的字符串在这里判断。
   
8. '如果发现有这个字符串就认为是病毒。如果有新的特征在这里加一个Or Chkstr(***)
   
9. '在ChkStr函数中判断
   
10. '比如下面这句就是检查上述的LSP文件中有(load"acadiso")字串，如果有的话就认为是病毒
    
11. [/color]
    
12. [color=red]                  Or ChkStr(fname, "(load""acadiso"")") _[/color]
    
13.                   Or ChkStr(fname, "(defun s::startup (/ old_cmd path dwgpath") _  
    
14.                   Then
    
15.                         WScript.StdOut.Write "删除 " & fname & "..."
    
16.                         fso.DeleteFile fname, True
    
17.                         WScript.StdOut.WriteLine "OK!"               
    
18.                 End If
    
19.         Next
    

<br />         For Each fname In fList<br />                 If ChkStr(fname, """ACADAPP.LSP""") _<br />                   Or ChkStr(fname, "(LOAD" & VbCrLf & """ACADAPP"")") _<br /> [color=green]<br /> '前面循环中指定的文件中有特征的字符串在这里判断。<br /> '如果发现有这个字符串就认为是病毒。如果有新的特征在这里加一个Or Chkstr(***)<br /> '在ChkStr函数中判断<br /> '比如下面这句就是检查上述的LSP文件中有(load"acadiso")字串，如果有的话就认为是病毒<br /> [/color]<br /> [color=red]                  Or ChkStr(fname, "(load""acadiso"")") _[/color]<br />                   Or ChkStr(fname, "(defun s::startup (/ old_cmd path dwgpath") _  <br />                   Then<br />                         WScript.StdOut.Write "删除 " & fname & "..."<br />                         fso.DeleteFile fname, True<br />                         WScript.StdOut.WriteLine "OK!"                <br />                 End If<br />         Next<br />

新的已经修改好的文件附在这里了：
http://p4.xdcad.net/forum/showth ... 2519886#post2519886

marcol

嘿。。。上次发现一个新拷的图旁边有这么个文件，我凭知觉就给他删了。。险哪。。。

lzws03

秋枫大侠在这帖子里给出了专杀工具，希望能广为传播，为更多的兄弟们解决问题。
http://www.xdcad.net/forum/showthread.php?s=&threadid=507734

请问这个  后缀为  vbs  的程序如何运行呀？