火绒安全软件

标题: 可否增加一个CAD病毒防护功能 [打印本页]

作者: wushiyi4 时间: 2018-3-30 09:53
标题: 可否增加一个CAD病毒防护功能
本帖最后由 wushiyi4 于 2018-3-30 09:55 编辑

设计院和设计公司最讨厌CAD病毒，目前互联网上能找到的“筑原CAD病毒专杀工具 V3.3“其实已经足够强大，CAD病毒基本上都可以查杀。
但这个工具只能事后查杀，不能够防御，更不能免疫。
公司环境里，收到外界图纸，然后存放在共享，然后更多人打开。再然后。。。。。。。一堆人的CAD软件都不正常了。
我们现在的应对方法是，让员工手动运行“筑原CAD病毒专杀工具 V3.3“，然后不定时去服务器上运行。
由于我公司的文件服务器空间大，筑原又不支持选择位置，扫一次需要1-2小时。

我司尝试过卡巴、NOD、赛门铁克，效果最好的是卡巴，但卡巴的资源占用和硬盘开销太大，其它几款式基本对CAD病毒无解。

我司最近把杀毒防护慢慢改成了火绒+云子可信，前天也申请了企业火绒。
可否增加一个CAD病毒防御的功能。。如果能，我申请企业版的费用也顺理成章了。

作者: xe99da0 时间: 2018-3-30 10:46
这挺复杂的，首先要对cad行为安全分析，然后才能给出相应的方案

作者: MR.stone 时间: 2018-3-30 11:17
您好，火绒可以对病毒文件查杀，不区分什么类型的文件，如果您发现有文件病毒没有被查到，麻烦您向我们反馈下，另外，建议您保持文件实时监控功能开启。

作者: wushiyi4 时间: 2018-4-2 09:52
本帖最后由 wushiyi4 于 2018-4-2 10:27 编辑

呃，简单的说一下CAD病毒的原理“”

由于AutoCAD启动时，按其设定的支持路径及当前文件路径挨个搜索，若存在文件acad.lsp（类似于个人配置文件或者批处理，这个文件是必需的，病毒会修改它，加上一些恶意的动作），则运行之。该病毒利用AutoCAD的这种读取机制，在第一次打开带有病毒的图纸后，该病毒即悄悄运行，并感染每一张新打开的图纸，将病毒文件到处复制，并生成很多名为acad.lsp的程序。

即便是重装CAD甚至重装系统都不能解决问题。病毒感染计算机系统后,会在搜索AutoCAD软件数据库路径下的自动运行文件(acad.lsp)后，生成一个备份文件acadapp.lsp,其内容和自动运行文件一样。打开CAD图纸时,软件就会运行加载该文件,同时在存放图纸文件的目录中生成两个文件(acad.lsp和acadapp.lsp)的副本。

这些acad.lsp和acadapp.lsp 本身不会对windows的环境有什么威胁，所以很多杀毒软件并不把这2个文件识别为恶意软件。

专杀工具的原因我估计是这样的“先全部盘扫描这2个文件名”，然后对文件内容进行识别，如果文件正常，则不理会，否则，会标识并修复它。类似这样子。
可能的话，希望管理员能找到这个软（筑原CAD专杀V3.3）件试用，里面的帮忙有文档，程序员的理解应该比我更清晰。作者网盘：http://shlisp.ys168.com/，下载链接“建原3.3”

文件有三种类型，恶意、黑名单、正常。[attach]28937[/attach]

作者: wushiyi4 时间: 2018-4-2 09:57
我的苦恼在于，硬盘大，扫描一次太费时间了。而且只能后期手动查杀。
希望：1）扫描更快些，比如类似调用everthing 的文件名库，然后查杀。几小时大概几需要1分钟
2）能避免产生新的被修改的acad.lsp。

作者: debug 时间: 2018-4-3 17:25
默认就是对cad进行防御的不杀的提供下样本

作者: MR.stone 时间: 2018-4-3 18:03

wushiyi4 发表于 2018-4-2 09:52
呃，简单的说一下CAD病毒的原理“”

由于AutoCAD启动时，按其设定的支持路径及当前文件路径挨个搜索，若存 ...

建议您保持打开文件实时监控和恶意行为监控功能，另外如果一旦发现中病毒后，请向我们反馈下

作者: wushiyi4 时间: 2018-9-28 18:01

debug 发表于 2018-4-3 17:25
默认就是对cad进行防御的不杀的提供下样本

现在提供一个样本，后续再找到，再上传过来。
希望能完成这个开发，不增加这个功能在火绒，直接做一个专杀工具也行，我们愿意为此付费

作者: 火绒运营专员 时间: 2018-9-28 18:20

wushiyi4 发表于 2018-9-28 18:01
现在提供一个样本，后续再找到，再上传过来。
希望能完成这个开发，不增加这个功能在火绒，直接做一个专 ...

您好，样本已收到，相关工程师将会跟进，感谢您的反馈~

作者: B0WE1 时间: 2018-9-28 23:53
http://ys-i.ys168.com/70758077/SXwLt7j461T784J5K8LPrU/CAD%E7%97%85%E6%AF%92%E5%85%8D%E7%96%AB%20V1.0.VLX

作者: wushiyi4 时间: 2018-9-29 09:33

B0WE1 发表于 2018-9-28 23:53
http://ys-i.ys168.com/70758077/SXwLt7j461T784J5K8LPrU/CAD%E7%97%85%E6%AF%92%E5%85%8D%E7%96%AB%20V1.0 ...

这个链接已效，可以再给一次么？给到共享目录就可以了，我自己去查找

作者: 火绒运营专员 时间: 2018-9-29 16:23

wushiyi4 发表于 2018-9-28 18:01
现在提供一个样本，后续再找到，再上传过来。
希望能完成这个开发，不增加这个功能在火绒，直接做一个专 ...

您好，该样本火绒已经可以查杀，您说的增加专杀工具这个问题，下一大版本会解决的。感谢您的反馈

作者: wushiyi4 时间: 2018-10-18 15:34

火绒运营专员发表于 2018-9-29 16:23
您好，该样本火绒已经可以查杀，您说的增加专杀工具这个问题，下一大版本会解决的。感谢您的反馈 ...

感谢。希望能解决这个问题。

作者: wpwjp 时间: 2019-8-1 21:07
真的很有需要

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)