Перейти к содержанию
AM_Bot

Лечение ACAD.Pasdoc, заражающего Autodesk AutoCAD

Recommended Posts

AM_Bot

Компания «Доктор Веб» сообщает о реализации процедуры лечения системы от вредоносной программы ACAD.Pasdoc, заражающей скрипты AutoCAD.AutoCAD - известная программная платформа для проектирования в различных сферах производства, созданная компанией Autodesk. Активно применяясь на различных предприятиях, она позволяет создавать чертежи 2D- и 3D-форматов сложной структуры. На базе AutoCAD создано и поддерживается множество специализированных программных продуктов различных производителей.

ACAD.Pasdoc (также известный под именами ACAD/Bursted.B.1, Virus.ALS.Pasdoc.a, ALS.Bursted.B, ALS/Pasdoc.A и другими) - вредоносная программа, созданныя на AutoLISP, внутреннем языке AutoCAD. Существует большое количество модификаций ACAD.Pasdoc, и не смотря на то, что ярко выраженного вредоносного функционала данная вредоносная программа в себе не несёт, заражение некорректно созданной модификацией может сделать невозможным нормальное использование приложения AutoCAD до корректного лечения системы.

Заражение системы происходит как только пользователь открывает любой чертёж AutoCAD (если в той же папке находится вредоносный скрипт acaddoc.lsp). Данный скрипт переопределяет некоторые внутренние команды AutoCAD. Одновременно вредоносный скрипт прописывается в стандартные скрипты AutoCAD, которые запускаются при каждом старте приложения. Таким образом, после инфицирования компьютер становится источником дальнейшего распространения ACAD.Pasdoc. Данная схема распространения похожа на методы, которые используются для распространения классических макро-вирусов для приложений Microsoft Office.

Хотя распространяется ACAD.Pasdoc уже в течение нескольких лет, до недавнего времени все антивирусные продукты определяли и удаляли из системы только вредоносный файл acaddoc.lsp, оставляя заражёнными стандартные скрипты AutoCAD. Таким образом, полноценное лечение компьютеров не осуществлялось. Некоторые из антивирусов определяют заражённые стандартные скрипты AutoCAD, но либо не совершают с ними никаких действий, либо переносят их в карантин, что приводит к неработоспособности этого программного комплекса.

На специализированных форумах, посвящённых работе с САПР-системами, предлагается несколько способов лечения заражённых ACAD.Pasdoc компьютеров вручную, которые для реализации требуют значительного времени, наличия исходных незаражённых скриптов AutoCAD и обхода всех компьютеров локальной сети предприятия.

Созданная 23 марта 2010 года специалистами Dr.Web процедура лечения систем от ACAD.Pasdoc позволяет автоматизировать данный процесс с помощью антивирусных продуктов Dr.Web.

Вирусные аналитики компании "Доктор Веб" отмечают, что не смотря на то, что процедура лечения от ACAD.Pasdoc заражённых скриптов AutoCAD не сложна по своей сути, для её реализации потребовалось исследовать особенности функционирования Autodesk AutoCAD. Отсутствие явно выраженного вредоносного функционала не делает данную программу не вредоносной, т.к. при некоторых обстоятельствах работа с AutoCAD на заражённых системах может вызывать определённые сложности. Статистика прошедшей недели показывает, что реализация лечения от данной вредоносной программы востребована нашими пользователями.

acec23d58dde5adffb1cc09ca9348683_1270015

В настоящее время для лечения систем, заражённых ACAD.Pasdoc, достаточно просканировать диски заражённых систем сканером Dr.Web, входящим в любой из антивирусных продуктов Dr.Web, работающих в ОС Microsoft Windows. Если в локальной сети предприятия постоянно используется антивирус другого производителя, то администраторы могут применить новый антивирусный продукт от компании «Доктор Веб» - Dr.Web CureNet!, который позволяет с любого компьютера локальной сети предприятия пролечить все компьютеры одновременно, не удаляя постоянно использующийся антивирус.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Антивирус Касперского по умолчанию проверяет и файлы AutoCAD, но был некоторый период времени (несколько месяцев назад), когда это было не так. Посему вопрос - а все ли аверы по умолчанию проверяют файлы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Похоже эти версии https://vms.drweb.ru/virus/?i=21513908 https://vms.drweb-av.es/virus/?i=22278785    
    • demkd
      майнер то старый, но как запускается хз, до создания образа uVS уже прибиты задачи, через которые он почти наверное и запускался, да и uVS запущен без флага HKCR и без флага выгрузки левых потоков, а они были и их там быть не должно.
      Однако самое неприятное то что нет командных строк в истории процессов, потому найти концы уже не получится.. возможно есть баг при включении отслеживания командных строк и это надо будет проверить.
    • PR55.RP55
      Ту что-то, эдакое.... https://www.safezone.cc/threads/mainer-ili-net-nt-kernel-system.46113/
    • PR55.RP55
      Полное имя                  E:\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
      Имя файла                   SCREENSHOTS@MOZILLA.ORG.XPI
      Статус                      FireFox
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
                                  
      Extension_ID                screenshots@mozilla.org
      Extension_name              Firefox Screenshots
      Extension_type              extension
      Extension_active            true
      Extension_visible           true
      Extension_version           39.0.1
      Extension_installDate       2023-08-30 17:02
      Extension_description       Take clips and screenshots from the Web and save them temporarily or permanently.
      Extension_userDisabled      false
      Extension_sourceURI         null
      --------------------------------------------------------- Предлагаю (Нужно) искать  "не найденные"объекты на других дисках. Ведь они эти объекты есть... D:\Program Files\Mozilla Firefox\browser\features  
    • demkd
      Правильно будет вот так: cexec "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Remove-MpPreference -ExclusionPath "путь" и оно работает, если powerShell на месте и это действительно powershell.
×