關于AutoCAD中的LISP病毒

1、關于AutoCAD中的LISP病毒目前CADr14有一種1isp代碼具備病毒的特征，有一定危害具體情況如下:在有DWG文件里如果帶有ACAD.LSP雙擊打開DWG文件，就會自動加載這個1isp,?此1isp的功能是：加載后炸開命令外部引用等命令失效。并且可傳染：加載后在你SUPPORT目錄下生成一個ACADAPP.slp,在ACAD添加(LOADACADAPP)(PRINC)龍樣以后彳打開acad就自動加載了ACADAPP,它在你每個操作過的acad圖形文件的文件夾下生成帶惡意代碼的ACAD.LSP這樣如果你復制整個文件夾,或者通過局域網打開圖形，就會導致在不同的機器內傳染。問題現(xiàn)象：EXPL

2、ODE命令失效(同時還有XREF、XBIND);每個編輯過dwg文件的目錄下面都會有一個acad.lsp；?保存至另一目錄時也同時產生acad.lsP；打開別人的文件時，如果該目錄下有acad.lsp,那么你必中招。解決辦法一：Autocadsupport下建立一個acad.lsp的空白文件，并將文件屬性置為只讀你自己不會具有二次傳染性，可以阻止病毒的擴散.如果中毒就刪掉圖形目錄下的acad.lsp,最好進行網絡全體搜索清除清除。解決方法二：？用.Exp10de(在命令前加小數(shù)點:可以分解；刪除所有這些acad.lsp文件。解決方法三：有個免疫設置的方法，將support目錄下的ACAD.ls

3、p設為只讀，如果有ACADAPP.lsp就清空后也將其設為只讀。?病毒名稱Harm.Bursted?該病毒是使用繪圖軟件：AutoCAD的內嵌腳本語言的寫成，文件名為：acad.lsp可由AutoCAD啟動時自動執(zhí)行，但它不影響圖形文件。？此病毒使AutoCAD的內部命令一EXPLODE,XREF和XBIND無效，并定義一個新的命令BRUST,此命令將？顯示如下消息：？BURST-將圖塊中的文字炸開后成為實體中了病毒ASL.Bursted.A病毒之解決方案我的!管昨日中毒？捕描彳爰I1示?D:RECYCS1-5-212995031003Dd44.rar感染ASL.Bursted.A病毒?我攏余

4、罔路上各余罔站找沒有碓切的方案有的刪掉案有的提供出毅毒小軟件但均瓢法刪除?但我彳筐各的的二次看到一段很重要的言舌?ACAD有個很大的優(yōu)點就是開放性它有很多開放的接口？?這給用戶自定義以及第三方二次開發(fā)提供了極大的方便。？?ACAD用戶化門檻不算高只要有興趣、有些耐心你總可以親自動手不同程度地進行自定義。馬上要討論的是關于啟動自動化的AUTOLISP接口，這個接口現(xiàn)在被人用來搞了點惡作劇我花了1天的結果，找出解決方案了如下必癥下II?.卸載AUTOCAD及其相信司敦:ft.使用AlwaysRight清理移除欺Ctt及接口之欺dH來清除上述清除工作完成再重新按裝autocadtt4?.再行捕描已瓢

5、中毒情形了先給不了解LSP的同志稍微鋪墊一下。?ACAD有個很大的優(yōu)點，就是開放性，它有很多開放的接口，這給用戶自定義以及第三方二次開發(fā)提供了極大的方便。ACAD用戶化門檻不算高，只要有興趣、有些耐心，你總可以親自動手不同程度地進行自定義。?馬上要討論的是關于啟動自動化的AUTOLISP接口，這個接口現(xiàn)在被人用來搞了點惡作劇。?在ACAD啟動或開圖時會被自動加載的LSP文彳?淺見，這種LSP包括：?ACAD.LSP,新裝的純ACAD里面沒有這個文件。一般由用戶自己編寫或者第三方軟件提供，放在ACAD目錄或SUPPORT子夾都可以。？ACADR$.LSP,$是系統(tǒng)版本號，比如ACADR14.LS

6、P,在SUPPORT子夾。還有一種先不說了.?加載時自動運行的由defun函數(shù)定義的函數(shù)名就一種，S:STARTUP,它和ACAD.LSP配套，同時不支持其他擴展名為LSP的文件？可能是因為這個原因,目標被定位于ACAD.LSP？不知道了,其實不一定非用S:STARTUP,用了那就說 TOC o 1-5 h z 明這位大蝦是個追求完美的人?鋪墊好了，來看看這個病毒acad.lsp的作用？00.定義自動函數(shù)S:STARTUP01?.獲取CMDECHO變量，改設為0,一般程序最后會再改回去，目的是悄悄地進村打槍地不要.大家都喜歡這么干?02.通過搜索base.dcl文件,獲取ACAD安裝路徑(su

7、pport子夾)?03.獲取菜單文件完整路徑和名稱，后來又沒用04.獲取當前圖形文件完整路徑和名稱,截取當前工作路徑?05.獲取當前首選ACAD.LSP文件完整路徑和名稱，截取其路徑06?.預設程序標記變量LSPBJ為0,意思是假設還沒得手?07.用只讀方式打開support中的ACAD.LSP,如文件不存在則建立同名文件逐行檢查此ACAD.LSP文件內容，一旦發(fā)現(xiàn)某行開頭為(loadacadapp)則設程序標記變量LSPBJ為1,表示已經得手過?只讀任務結束,關閉文件08.如果找到的ACAD.LSP路徑和當前工作路徑不同，？并且不在ACADsupport里面，則?如果LSPBJ為0,也即尚未

8、得手，那么？就在ACADsupportacad.lsp文件末尾添加(load11acadapp)(princ),即ACAD啟動或開圖時自動加載acadapp.lsp并隱蔽命令行反應。腐后同路彳創(chuàng)建acadapp.lsp文件，作為剛改過的acad.lsp的備份.?如果LSPBJ為1,即已得手，且當前繪圖不是未命名的新繪圖任務,則用復寫ACADsupportacadapp.lsp的方式在當前工作總徑創(chuàng)建acad.lsp.?;注:到此為止,ACAD啟動時必搜的程序文件路徑里面都放好了此acad.lsp!?09.程序開始做真正讓大家不愉快的事情，它取消了3個系統(tǒng)預設的命令名：不止exp1ode,還有x

9、ref和xbind?可能因為Xref和xbind不是每個人都常用，所以好象報案的不多，而explode幾乎是所有用ACAD畫圖的人都難以避免使用的，就顯得很典型?S:STARTUP函數(shù)定義結束?還沒完,前面取消了那3個命令的定義,現(xiàn)在要重新定義它們,幸好這位大蝦良心不算壞，只是讓命令不起作用或者改成其他加法命令,并沒寫成破壞性函數(shù)或OS命令?EXPLODE的新功能和交互情況是：?command:EXPLODE?Seltctobjects：200foundSelectobjects:2?00wasnotabletobeexplodecommand:隨你怎么選,它就是說炸不了?然后XREF和XBI

10、ND這對難兄難弟雙雙被改成了insert,交互響應制作很不精良，根本就是空白，可能大蝦忽然覺得倦了吧.？?最后，它還重新定義了BONUS和EXPRESSTOOLS工具集里面提供的BURST命令，其實是個外部函數(shù)(c:burst)?BURST原來的用途是ExplodeAttributestoText,把屬性文本炸成text類物體被重新定義后這樣:?command:BURSTBURST-將圖塊中的文字炸開后成為實體Selectobjects：200found?Selectobjects:?command:07.用只讀方式打開support中的ACAD.LSP,如文件不存在則建立同名文件？逐行檢查此

11、ACAD.LSP文件內容，一旦發(fā)現(xiàn)某行開頭為(loadacadapp)?則設程序標記變量LSPBJ為1,表示已經得手過只讀任務結束，關閉文件08.如果找到的ACAD.LSP路徑和當前工作路徑不同，？并且不在Asupport里面，則如果LSPBJ為0,也即尚未得手，那么？就在ACADsupportacad.lsp文件末尾添加(loadacadapp)(princ),即ACAD啟動或開圖時自動加載acadapp.1sp并隱蔽命令行反應。然后同路徑創(chuàng)建acadapp.1sp文件，作為剛改過的acad.lsp的備份.如果LSPBJ為1,即已得手，且當前繪圖不是未命名的新繪圖任務，則用復寫ACADsup

12、portacadapp.lsp的方式在當前工作路徑創(chuàng)建acad.lsp.;注:到此為止，ACAD啟動時必搜的程序文件路徑里面都放好了此acad.lsp!ACAD的支持文件搜索路徑(Supportpath)?ACAD在啟動或開新圖的時候，在程序進入ready狀態(tài)前,首先會到支持文件搜索路徑里面尋找系統(tǒng)需要的資源,在必須使用的東西全部找齊后，我們才有機會正常開始畫圖。這種路徑分2種：？A、在preferences命令對話框的files分頁最上面一項可以看到，一般新裝的純ACAD的這種路徑包括support外部命令、函數(shù)，圖案、線形等資源庫等卜fontsACAD專用字庫、不包括TRUETYPE字體、

13、help幫助文檔,還可以有bonuscadtoolsbonus資源選裝.通常*lsp文件都集中在support子夾。？B、當前工作路徑,就是現(xiàn)在剛打開的那張圖的存放位置。?acadapp.Isp并不是系統(tǒng)保留的文件名，雖然樣子很酷，其實它就是被感染的標志，當然，這個標志不如到處都是acad.lsp那么壯觀?現(xiàn)在可以分析大家是怎么感染的了。用已經感染的ACAD系統(tǒng)畫圖根據(jù)上文08:?如果LSPBJ為1,即已得手，且當前繪圖不是未命名的新繪圖任務，則？用復寫ACADsupportacadapp.lsp的方式？在當前工作路徑創(chuàng)建acad.Isp.這就是說，在這種情況下，它把已經被感染的CAD系統(tǒng)里面

14、的acadapp.lsp克隆到當前工作路徑，名字就叫acad.lsp?不小心工作路徑里面混進了那個acad.lsp文件？一旦出現(xiàn)這種情況，即便你的ACAD原來是干凈的，也瞬間就被做掉了。還是根據(jù)上文08:?如果LSPBJ為0,也即尚未得手，那么？就在Asupportacad.lsp文件末尾添加(loadacadapp)(princ),即ACAD啟動或開圖時自動加載acadapp.Isp并隱蔽命令行反應。然后同路徑創(chuàng)建acadapp.lsp文件，作為剛改過的acad.1sp的備份.?克隆這個acad.lsp到ACADsupport,名字改成acadapp.lsp,通過acad.lsp自動加載它。

15、？注意，上面的自動加載acad.lsp和這里的通過acad.lsp加載acadapp.1sp效果都是一樣的。那么,怎么就被這個acad.lsp給混進了工作路徑呢？可能性有很多，比如你通過局域網跟別人共享同個文件夾里面的dwg文件，不幸你的同伴的ACAD先感染了；或者用移動盤在別人，尤其打圖公司，那里畫圖甚至只是開圖，不幸別人的ACAD已經感染了，等等?這大段代碼的自我復制原理很簡單。從上面概括下來就是:你的機器是干凈的，它工作路徑里的acad.lsp就把自己復制到ACAD目錄；你的機器是感染的，它support里的acadapp.lsp就把自己復制到工作路徑。只是名字有點變化,被復制的代碼是一

16、樣的。?補充樓上說的關于殺毒、防毒的辦法：如果確認未被感染，那么把自己的原來的supportacad.1sp(沒有就建一個空文本文件,改成這名字，注意確信改掉擴展名)文件改成只讀屬性；如果已感染，請采用mnhyy1兄說的辦法清除，之后再做前面的步驟(只讀acad.1sp);同時安裝多個CAD版本的要分別打“只讀補丁”。?聽說ACAD2000上就有VBA做的病毒。現(xiàn)在討論的這個誠如乙般不管閑事”女士/先生/同志/朋友所說，只是在Lisp上做了些文章。是我看走眼了。？刪除所有acad.lsp當然可以解決，但未免有些濫殺無辜。如果能下決心跟它和平相處的話，就到放base.dcl的目錄下，打開acad

17、.lsp,刪除這樣的兩段：？(commandundefineexplode)?(commandundefinexref)?(commandundefinexbind)以及從？(defunC:explode(/pconto1dcmd)到末尾的(princ)之前的)?以后開圖應該不會有問題了，當然已經感染的目錄下的acad.lsp還是要刪除。另一個好處是：在ACAD程序目錄里留下的這個acad.lsp可以當疫苗，估計是終身免疫的。不過我沒有試過，如果不靈權當“療妒湯”了。?最近一段時間i壇關于acad.lsp病毒的消息較多，其實平時養(yǎng)成良好的習慣，是完全可以杜絕的。1?.不隨便將目錄(含cad圖紙

18、)拷入本機；不要盲目打開目錄下含有acad.1sp文件的圖紙。2?.經常升級自己的病毒庫。3?推薦使用acad2000以上版本，內含程序組加載程序，杜絕了acad.lsp的存在。4?.中了acad.lsp病毒也不要害怕，該病毒本身沒有什么危害性，只是炸開命令不能用了，可以使用xplode替代。還是把acad.lsp和acadapp.1sp改為只讀比較好?現(xiàn)在好多好多的設計院都反映中了lisp病毒acad.lisp還附帶acad.doc。中毒現(xiàn)象就是不能炸開塊，不能用insert命令等等。？各路高手看看怎么能解決這個問題呀，瑞星查不出來，金山不置可否，KV倒是能查出來,但是過一會兒病毒還回來。手動刪除的效果也不好。救命呀!！?有，大家能解釋一下原因么,有說這個病毒是韓國過來的?該病毒并不可怕。給你一種最簡單的清除方法吧,趕快在你單位的所有計算機中（切記是所有計算機），搜索查硬盤內所有名為acad.lsp的文件和acadapp.Isp的文件，并將它們全部刪除即可。?acadapp.lsp跟acad.lsp一樣也是病毒，它是acad.lsp運行時自動生成的。這是一個專門針對CAD的病毒程序，不是傳統(tǒng)意義上的病毒，因此，用諾頓、金山毒霸等是不能殺除的。它的作用機制是這樣的:某臺機器上沒有這個病毒程序,在通過網上鄰居拷貝別人的圖紙時，大家經常會把整個目錄拷貝過來，如果拷貝的這個目錄中包含有