- CAD에서 사용하는 AutoLISP 스트립트 언어로 작성된 웜으로
감염시 2,714바이트 길이의
acad.lsp 와 acadapp.lsp 파일이 생성된다.
- 특징적인 증상으로 explode, xref, xbind 명령이
실행되지 않게 하고,
Burst 입력시 화면에 메시지를 출력하며, dwg 파일을 직접 변경하거나,
손상시키진 않으며 캐드 프로그램을
사용할 경우에만 감염된다.
[예방법]
- AutoCAD에서는 Dwg 파일을 열리면 같은 폴더의 acad.lsp
파일을 자동으로
읽어 드린다. 이를 이용해 바이러스가 활동하며 감염되므로. 도면을 열기전에
해당 폴더의 acad.lsp 파일을
삭제한다.
[치료법]
- 시작의 검색에서 작업 폴더에 있는 사용하지 않는 acad.lsp 를
찾아서 지워준다.
(이때 acad.lsp구동을 하여 사용하는 분은 미리 이름을 바꾸워 둔다.)
- c:\Documents and
Settings\Administrator\Application
data\Autodesk\
Autocad2007\R17.0\kor\support 에서 사용하지 않는 acad.lsp 및
acadapp.lsp
파일을 지운다.
- 이렇게 다 지운경우 캐드 실행시 어떤 리습을 로드 할수 없다는 또는
매크로를
찾을 수 없다는 메세지가 나오는 경우가 있습니다.
바이러스 리습을 로드하는 구문이 acad.mnl 파일에 남아 있어서
그렇습니다
AutoCAD Support 폴더의 acad.mnl 파일을 메모장 같은 것으로 열어서
맨 아래에 (load
"acadapq") 이런 비슷한 한줄을 삭제하시고 저장하면 됩니다.
오토캐드(AutoCAD)에서 사용하는 AutoLISP 스크립트 언어로 작성된 웜으로 감염 시 2,714 바이트 길이의
ACAD.LSP와 ACADAPP.LSP 파일이 생성된다. 특징적인 증상으로 EXPLODE, XREF, XBIND 명령이 실행되지 않게 하고
BURST 명령 입력시 화면에 메시지를 출력한다. DWG 파일을 직접 변경하거나 손상시키지는 않는다.
상세정보
오토캐드(AutoCAD)에서 사용하는 AutoLISP 스크립트로 작성된 웜으로 캐드 프로그램을 사용할 경우만 감염된다.
* 확산 정도
정보를 작성하는 2004년 12월 14일 현재
안철수연구소는 고객으로부터 다수의 감염 보고를 받았다. 2004년 여름부터 한국에서 활동한 것으로 추정된다.
* 전파 경로
자체적으로 다른 시스템으로 전파 기능은 포함하고 있지 않으며 사용자가 캐드
문서를 담은 폴더를 공유하면서 전파된 것으로 추정된다. 캐드 문서 자체를 감염시키지는 않으므로 DWG 파일만 공유시에는 감염되지 않는다.
* 실행 후 증상
오토캐드는 DWG 파일이 열리면 같은 폴더의
ACAD.LSP 파일을 자동으로 읽어 들인다. 이를 이용해 제작된 것으로 오토캐드 문서가 있는 폴더에 ACAD.LSP 파일(2,714 바이트)을
생성한다. 또한 오토캐드 서포트 폴더(Support Folder)에 ACADAPP.LSP 파일(2,714 바이트)을 생성하고 설정을 변경해
오토캐드가 실행 시 ACADAPP.LSP 파일을 실행하게 한다.
특징적인 증상으로 다음 명령이 실행되지 않게 한다.
- EXPLODE
- XREF
- XBIND
EXPLODE 명령을 입력하면 다음과 같은 내용을
출력한다.
‘Seltct objects: (숫자) found’(Seltct는 Select의 오타로 보임)
(숫자) was not
able to be explode’
예) Seltct
objects: 1
found
1
was
not
able
to
be
explode
BURST 명령을 입력하면 중국어 메시지를 출력한다.
사용하는 윈도우 언어에 따라 글이 깨져 보일 수 있다. 참고로 그림은 중문 윈도우와 한글 윈도우에서 출력되는 화면이다.
치료법
* V3 Internet Security (2007 / 2007 Platinum / 7.0
Enterprise / 7.0 Platinum Enterprise) 사용자
1. 제품 실행 후 오른쪽 상단의
[업데이트]를 선택하거나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다.
2. 왼쪽 메뉴의 [바이러스 검사]를
선택 후 [검사하기]를 누른다.
3. 빠른 검사, 수동 검사, 사용자 목록 검사 중 검사 방법을 선택 후 [검사 시작]을 누른다.
4. 메모리에서 실행중인 악성코드가 발견되면 일반적으로 자동 치료(삭제)된다.
5. 메모리 검사와 파일 검사가
끝나면 진단 결과에 진단명이 나타난다. 여기서 '모두 선택'이나 개별 선택 후 [치료하기]를 눌러 진단된 악성코드를 치료(삭제)한다.
6. 치료 혹은 삭제 할때 추가/변경 된 레지스트리 값은 자동 수정된다.
7. 치료 실패 혹은 재감염이 발생할 경우
우선 안전모드로 부팅 후 치료해 본다. 계속 치료 실패 혹은 재감염 증상이 발생한다면 안리포트 결과와 함께 신고센터로
문의한다.
[CAD 바이러스 증상 및 요약 ]
• 오토캐드에서 사용하는 AutoLISP 스크립트 언어로 작성된
웜으로 감염 시, AutoCAD Support 폴더에 acadapp.lsp파일이, 그리고 폴더마다 acad.lsp 파일이
생성됩니다.
증상으로는 AutoCAD에서 LISP 에러를 유발시키며, explode, xref, xbind 등의 명령이 실행되지
않고, Burst 입력 시, 화면에 메시지를 출력합니다.
• Explorer 버전이나 윈도우에 이상이 있을 경우 실행이 안될 수가 있습니다.
이
경우에는...탐색기로...
acadapp.lsp acadapq.lsp acad.lsp acaddoc.lsp(InerCAD 폴더에 있는
acaddoc.lsp는 제외)를 검색하여 모두 지우시면 됩니다.
고급옵션에서 "숨김 파일 및 폴더 검색"을 반드시 체크하시고
검색하세요!
이름:
CAD 바이러스 Checker
버전:
1.1.0.13
게시자:
ArchiOffice
다음 필수 구성 요소가 필요합니다.
.NET Framework 2.0
이미 이 구성 요소가 설치되어 있으면 지금 응용 프로그램을 시작할 수 있습니다. 그렇지 않은 경우
아래에 있는 단추를 클릭하여 필수 구성 요소를 설치하고 응용 프로그램을 실행하십시오.
최초 입력시간 : 2004. 12. 14 15:31 (GMT+9)
안철수연구소의 보안제품을 온라인으로 바로
구입하실 수 있습니다.
댓글 영역