吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
楼主: Onlystone

[PC样本分析] <WatchPuppy>AutoCAD病毒可执行恶意代码漏洞分析及补丁(附代码、补丁)

  [复制链接]
 楼主| Onlystone 发表于 2018-3-29 11:48
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
A-new 发表于 2018-3-29 10:44
这么搞不大适合吧如果是正常的acad.lsp,按楼主的处理方法不也不会被加载了,建议对acad.lsp文件分析处理, ...

其实是这样的,acad.lsp确实是正常文件,acad加载他的原因,并不是故意让他加载,而是因为一个特定位置搜索的问题,cad有一个配置叫做“支持文件搜索路径”会在这个列表中加载所有的以上文件,cad插件的普遍做法也是这么干,还有的是直接写入进去的。这个漏洞本身在于,cad会把dwg文件所在路径也当作支持文件路径,有些时候会把一些shx形文件跟dwg文件放在一起,方便搜索,但是自动桌脑残的一点,就是忘记了同时也会搜索这些文件(不仅仅是acad.lsp),所以给了病毒可乘之机。正常文件不会采用这样的名字,其次,正常的lsp脚本也不需要随dwg共同加载。

新版本的cad(2016之后)已经意识到了这个问题,将dwg所在目录从支持文件路径中拆了出来,只会在下面搜索shx形文件和mnu之类的列表文件,不再搜索acad.lsp了。

以上举例我也提到了desktop.ini+Folder.htt,在win开启文件夹的时候自动加载恶意代码。这个恶性远比autorun.inf高得多,autorun.inf还存在可用之处,而这个d+f的组合就相当于本文提到的cad病毒,有百害而无利。

为了避免误杀,我也只是改名,保证他不再继续工作,就可以达到隔绝病毒的做法。我监视的事件,是cad的打开事件,只有在打开dwg的时候,会加载的可疑文件,才会干掉,并不是全盘清除

点评

这么说来有点像dll劫持的感觉,这几个名字的文件如果绝大多数是不大正常的话,或者本身不应存在的话,这么处理还是合理的  详情 回复 发表于 2018-3-29 12:03

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

A-new 发表于 2018-3-29 12:03
Onlystone 发表于 2018-3-29 11:48
其实是这样的,acad.lsp确实是正常文件,acad加载他的原因,并不是故意让他加载,而是因为一个特定位置搜 ...

这么说来有点像dll劫持的感觉,这几个名字的文件如果绝大多数是不大正常的话,或者本身不应存在的话,这么处理还是合理的
Tristeins 发表于 2018-3-29 12:22
 楼主| Onlystone 发表于 2018-3-29 12:41
本帖最后由 Onlystone 于 2018-3-29 12:43 编辑
A-new 发表于 2018-3-29 12:03
这么说来有点像dll劫持的感觉,这几个名字的文件如果绝大多数是不大正常的话,或者本身不应存在的话,这 ...

有点hijack的意味,但是,这几个文件放在cad自己的路径里面是正常的,cad启动的时候会搜索默认的路径加载,只不过加载错了地方,跟当年360浏览器读取站点内的dll一个毛病

我上传个样本吧
 楼主| Onlystone 发表于 2018-3-29 12:47
A-new 发表于 2018-3-29 12:03
这么说来有点像dll劫持的感觉,这几个名字的文件如果绝大多数是不大正常的话,或者本身不应存在的话,这 ...

等下我把病毒样本也发上来,大致的分析下源码
 楼主| Onlystone 发表于 2018-3-29 13:25
A-new 发表于 2018-3-29 12:03
这么说来有点像dll劫持的感觉,这几个名字的文件如果绝大多数是不大正常的话,或者本身不应存在的话,这 ...

我重新编辑了下帖子,样本发在里面了,有空您可以拿走玩玩
lj1314 发表于 2018-3-29 14:33
感谢楼主  学建筑的学生狗   深受CAD  病毒毒害   非常感谢
 楼主| Onlystone 发表于 2018-3-29 15:14
本帖最后由 Onlystone 于 2018-5-14 11:04 编辑

1.1版本现已加入
修改内容:
本来就是写个demo,没想到大家这么支持,那么进一步完善了程序

感谢论坛支持,软件中添加了52pojie的网址,和网站标题,为了大家研究方便,没混淆。

现在全面支持2015、2016、2017、2018的64位版本(2016之后cad本身不会中毒,但本软件能将病毒隔离,防止传染其他人)

2008版本推出无望,建议各位更新cad(或者,你可以多找几个人来建议我出。为啥?因为我写一个版本我就要装一个版本的cad。。。而且要改代码)

卸载按钮之前报告路径写错了。已修改

修复了之前CAD2010不能安装的问题。

完善了病毒库。

软件请去1L下载1.2版本。
 楼主| Onlystone 发表于 2018-3-29 15:15
A-new 发表于 2018-3-29 12:03
这么说来有点像dll劫持的感觉,这几个名字的文件如果绝大多数是不大正常的话,或者本身不应存在的话,这 ...

斑竹童鞋,不好意思,能否帮个忙,把我后面那个更新补丁顶到正文下方?。,。还是说我只能重新编辑下正文,放在下面。。
 楼主| Onlystone 发表于 2018-3-29 15:16

我发在里面了,看下我那个楼写了1.1版本更新
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2020-3-28 21:59

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表