Перейти к содержанию
AM_Bot

Лечение ACAD.Pasdoc, заражающего Autodesk AutoCAD

Recommended Posts

AM_Bot

Компания «Доктор Веб» сообщает о реализации процедуры лечения системы от вредоносной программы ACAD.Pasdoc, заражающей скрипты AutoCAD.AutoCAD - известная программная платформа для проектирования в различных сферах производства, созданная компанией Autodesk. Активно применяясь на различных предприятиях, она позволяет создавать чертежи 2D- и 3D-форматов сложной структуры. На базе AutoCAD создано и поддерживается множество специализированных программных продуктов различных производителей.

ACAD.Pasdoc (также известный под именами ACAD/Bursted.B.1, Virus.ALS.Pasdoc.a, ALS.Bursted.B, ALS/Pasdoc.A и другими) - вредоносная программа, созданныя на AutoLISP, внутреннем языке AutoCAD. Существует большое количество модификаций ACAD.Pasdoc, и не смотря на то, что ярко выраженного вредоносного функционала данная вредоносная программа в себе не несёт, заражение некорректно созданной модификацией может сделать невозможным нормальное использование приложения AutoCAD до корректного лечения системы.

Заражение системы происходит как только пользователь открывает любой чертёж AutoCAD (если в той же папке находится вредоносный скрипт acaddoc.lsp). Данный скрипт переопределяет некоторые внутренние команды AutoCAD. Одновременно вредоносный скрипт прописывается в стандартные скрипты AutoCAD, которые запускаются при каждом старте приложения. Таким образом, после инфицирования компьютер становится источником дальнейшего распространения ACAD.Pasdoc. Данная схема распространения похожа на методы, которые используются для распространения классических макро-вирусов для приложений Microsoft Office.

Хотя распространяется ACAD.Pasdoc уже в течение нескольких лет, до недавнего времени все антивирусные продукты определяли и удаляли из системы только вредоносный файл acaddoc.lsp, оставляя заражёнными стандартные скрипты AutoCAD. Таким образом, полноценное лечение компьютеров не осуществлялось. Некоторые из антивирусов определяют заражённые стандартные скрипты AutoCAD, но либо не совершают с ними никаких действий, либо переносят их в карантин, что приводит к неработоспособности этого программного комплекса.

На специализированных форумах, посвящённых работе с САПР-системами, предлагается несколько способов лечения заражённых ACAD.Pasdoc компьютеров вручную, которые для реализации требуют значительного времени, наличия исходных незаражённых скриптов AutoCAD и обхода всех компьютеров локальной сети предприятия.

Созданная 23 марта 2010 года специалистами Dr.Web процедура лечения систем от ACAD.Pasdoc позволяет автоматизировать данный процесс с помощью антивирусных продуктов Dr.Web.

Вирусные аналитики компании "Доктор Веб" отмечают, что не смотря на то, что процедура лечения от ACAD.Pasdoc заражённых скриптов AutoCAD не сложна по своей сути, для её реализации потребовалось исследовать особенности функционирования Autodesk AutoCAD. Отсутствие явно выраженного вредоносного функционала не делает данную программу не вредоносной, т.к. при некоторых обстоятельствах работа с AutoCAD на заражённых системах может вызывать определённые сложности. Статистика прошедшей недели показывает, что реализация лечения от данной вредоносной программы востребована нашими пользователями.

acec23d58dde5adffb1cc09ca9348683_1270015

В настоящее время для лечения систем, заражённых ACAD.Pasdoc, достаточно просканировать диски заражённых систем сканером Dr.Web, входящим в любой из антивирусных продуктов Dr.Web, работающих в ОС Microsoft Windows. Если в локальной сети предприятия постоянно используется антивирус другого производителя, то администраторы могут применить новый антивирусный продукт от компании «Доктор Веб» - Dr.Web CureNet!, который позволяет с любого компьютера локальной сети предприятия пролечить все компьютеры одновременно, не удаляя постоянно использующийся антивирус.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Антивирус Касперского по умолчанию проверяет и файлы AutoCAD, но был некоторый период времени (несколько месяцев назад), когда это было не так. Посему вопрос - а все ли аверы по умолчанию проверяют файлы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Лукин Вадим
      Пришла мне в голову идея организовать самостоятельное путешествие по некоторым сказочным местам нашей Родины! Было бы здорово, если бы кто-то подсказал, где можно найти нормальные отели? Может есть какая-то прога?
    • Липковский Борис
      Моё отношение к казино вполне положительное, я уже больше полугода играю в слоты на сайте Play Fortuna Уже неоднократно поднимал там приличные деньги и не жалуюсь. Естественно и несколько раз проигрывал, но в каждой игре бывают проигрыши и это вполне нормально. На этом сайте есть разные слоты, их около двухсот штук, можно выбрать любой и на каждом из них высокий шанс выиграть.
    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
    • Липковский Борис
      Вдруг понадобится, спасибо за информацию.
×