ACADDOC病毒处理办法.pdfVIP

acaddoc 病毒处理办法 前言:下文第一、二、三段无实质内容，可略过不读。 一 病毒简介: 最近公司里流传一种cad 病毒。该病毒可被卡巴斯基和360 杀毒软件查出。卡巴斯基查 出病毒名为Virus.ALS.Pasdoc.a，360 杀毒软件查出病毒名为Trojan.Script.29327。遗憾 的是，卡巴斯基和360 杀毒软件均不能将其彻底清除。 二 中毒症状： 机器中毒后，运行CAD 时，每打开一个dwg 文件，均在 dwg 文件所在目录下生成一个 acaddoc.lsp 的文件。由于每次开图，病毒程序均进行一次病毒传播复制过程，因此使得CAD 开图时速度变慢。 用记事本查看CAD 安装路径下的support 目录下的任一*.lsp 文件，如文件末尾含有与 附件1 相同的代码，则可判定为中毒。 三 传播机理： 通过分析病毒的源代码，初步了解其传播机理如下： 如机器已中毒，CAD 新打开dwg 文件时，病毒程序自动加载。并搜索CAD 工作目录下的 acad.mnl 文件，感染同一目录下的*.mnl 文件，搜索acad 的support 目录，并感染该目录 下的所有*.lsp 文件。同时病毒在当前打开的dwg 文件所在目录下生成acaddoc.lsp 文件， 以利于下次传播。 如本机未中毒，而新打开的dwg 文件所在目录下有acaddoc.lsp 文件，则病毒将感染上 述目录下的*.mnl 与*.lsp 文件。 该病毒的最终目的是调用 acadapq 与 acadappp 两个非法程序。至于这两个程序会干 什么，暂未深入研究。 四 清除步骤： 1. 退出CAD。 2. 全盘搜索acadapq.*、、acadappp.*、acaddoc.* 文件，然后彻底删除上述文件。注 意查找前在文件夹选项中设置“显示所有文件与文件夹”以及取消 “隐藏受保护的 操作系统文件”。搜索时选择“查找所有文件及文件夹”，然后在“高级选项”里勾 选“搜索系统文件夹”“搜索隐藏的文件和文件夹”“搜索子文件夹”。 如果搜出的文件无法删除，则先清空回收站，再搜索删除。 注：探索者目录下有个AcadDoc.lsp （注意大小写）不是病毒文件，谨防误删。 3. 查看C 盘根目录下是否有boot.dat 文件，如有，则将其删除。 4. 进入 C:\Documents and Settings\用户名\Application Data\Autodesk\AutoCAD 2006 （或AutoCAD2004）\R16.2\chs\Support 目录，用记事本打开该目录下的所有 *.mnl 文件，手动删除与附件1 相同的代码（一般都在文件末尾），然后保存。并将 修改后的所有*.mnl 文件属性设置为“只读”。 5. 进入CAD 安装目录下的support 目录，将该目录下的所有*.lsp 文件按步骤4 方法 处理。记得将其属性设为“只读”。 6. 如果本机安装有多个版本的CAD，都需按上述步骤检查一次。 WKCOST 提示： 1)、在手动删除附件1 代码时，由于病毒是多次添加改代码在上述的文件中，所以单单 删除最后一段没什么用，导致杀毒失败，最简便的方法是：打开上述文件，用Ctrl+F 查找 (setq flagx t) 找到后，从该代码行一直拉到文件最后一行，全部删除，保存退出即可。 2)、步骤5 搜索出LISP 一大堆，并不是每个文件都要修改，可以看修改日期，修改日 期在05、06 年甚至更早的话就不必修改了，肯定没有被感染，一般被感染的文件都是被近 期修改，可能就是最近半年或者前几天的日期，这些都是很可疑的，需要打开查找一下。 如图：被我选中的几个文件被感染了，其他的没有感染 五 预防措施： 由于该病毒是通过读取dwg 文件所在的目录下acaddoc.lsp 来传播的。因为在接受其他 同事的文件夹时，应先检查该文件夹中是否包含上述病毒文件。如有，则删除之。同时也应 该确保传给其他同事的文件夹不要包含上述文件。 病毒会感染support 目录下的*.lsp 文件。因此建议新建一个文件夹，将常用的lisp 程序放置在该文件夹下，同时在CAD 选项中将其设置为工