Chuyển đến nội dung
Diễn đàn CADViet
Học AutoCAD Online cùng CADViet
Đăng nhập để thực hiện theo  
mmxiv07

Virus trên file .DWG Cad (Bác nào nhiều kinh nghiệm cho xin ý kiến )

Các bài được khuyến nghị

Mình đang tìm hiểu về virus và cách diệt virus trên file .DWG của AutoCAD (là loại file thông dụng nhất của AutoCAD phải không nhỉ?), nhưng hiện tại chưa có mẫu virus nào cả. Nếu ACE nào có file dính virus thì vui lòng cho xin để nghiên cứu cách tiêu diệt (chỉ file .DWG, chưa quan tâm tới .LSP, .FAS,...  - mình hoàn toàn không quan tâm tới nội dung bản vẽ đâu vì là dân lập trình & an ninh hệ thống, không biết gì về thiết kế kiến trúc và cũng không có ý định thiết kế gì cả, sẽ xóa ngay bản vẽ sau khi lấy được mẫu virus). Xin cảm ơn!

PS: file nhiễm virus vui lòng gửi email tới địa chỉ thaihungvan@gmail.com, nếu ACE nào có tài liệu về tổ chức bên trong (file format structure) của file .DWG version 2018 thì share cho luôn!

  • Vote tăng 1

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

@@, Nghe chừng file .DWG không có chứa virus đâu ^^. Chỉ có virut đính kèm trong thư mục bản vẽ thôi . Thường là định dạng .fas hoặc acaddoc.lsp là những loại phổ thông nhất. 

Bạn thích thì thử tìm hiểu luôn :v

acaddoc.lsp

Virut.rar

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác
52 phút trước, Danh Cong đã nói:

@@, Nghe chừng file .DWG không có chứa virus đâu ^^. Chỉ có virut đính kèm trong thư mục bản vẽ thôi . Thường là định dạng .fas hoặc acaddoc.lsp là những loại phổ thông nhất. 

Bạn thích thì thử tìm hiểu luôn :v

acaddoc.lsp

Virut.rar

Virus ứng với định dạng LSP, FAS thì có vẻ quá dễ phát hiện & tiêu diệt - nhiều hệ thống đã hỗ trợ. Mình muốn làm cái mà hầu như chưa ai làm!

Trước mắt là có thể nhúng hyperlink vào DWG (ngoài link chính thống còn có thể kết buộc với 1 đối tượng gì đó như là 1 đoạn thẳng chẳng hạn), mà hyperlink thì có thể thực thi 1 chương trình /trang web độc hại - mình vừa test thử:). Mình cũng vừa ghép 1 file .EXE chứa virus vào DWG mà AutoCAD version 2018 cũng vẫn mở lên ngon lành không thông báo gì cả!

 

(khái niệm virus mà mình là đang dùng ở đây là các nội dung độc hại nói chung - có thể không tự active, những thứ do "người xấu" đưa vào chứ không phải các nội dung lành mạnh mà người dùng bình thường và AutoCAD tạo ra:)

 

Các mã lệnh LISP có thể đưa vào trong file DWG không nhỉ?

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác
Vào lúc 12/14/2017 tại 11:41, Danh Cong đã nói:

@@, Nghe chừng file .DWG không có chứa virus đâu ^^. Chỉ có virut đính kèm trong thư mục bản vẽ thôi . Thường là định dạng .fas hoặc acaddoc.lsp là những loại phổ thông nhất. 

Bạn thích thì thử tìm hiểu luôn :v

acaddoc.lsp

Virut.rar

ko có mẫu virus mình đã tự tạo. CAD mặc định lưu macro thành các file riêng (lsp, fas, dvb,...) nhưng cũng có cho set lại để nhúng trực tiếp macro vào file DWG, bên trong file DWG cũng có nhiều chỗ để nhúng các malicious content (phải tự phân tích cấu trúc và xử lý ở cấp binary - cấp hacker biết lập trình với binary:).

 

AutoDesk ko muốn hacker đụng chạm đến DWG nên mã hóa rất ác liệt và ko public tài liệu mô tả, mỗi thành phần trong file mã theo 1 kiểu - rồi cứ sau vài năm lại đổi file format structure! Hiện tại mình đã decode được các version từ 2004 đến 2018, ngoại trừ 2007 :)

  • Vote tăng 1

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác
2 giờ trước, mmxiv07 đã nói:

ko có mẫu virus mình đã tự tạo. CAD mặc định lưu macro thành các file riêng (lsp, fas, dvb,...) nhưng cũng có cho set lại để nhúng trực tiếp macro vào file DWG, bên trong file DWG cũng có nhiều chỗ để nhúng các malicious content (phải tự phân tích cấu trúc và xử lý ở cấp binary - cấp hacker biết lập trình với binary:).

 

AutoDesk ko muốn hacker đụng chạm đến DWG nên mã hóa rất ác liệt và ko public tài liệu mô tả, mỗi thành phần trong file mã theo 1 kiểu - rồi cứ sau vài năm lại đổi file format structure! Hiện tại mình đã decode được các version từ 2004 đến 2018, ngoại trừ 2007 :)

 

#mmxiv07,

Mình ko tìm hiểu sâu trong cấu trúc dữ liệu Autocad, nên ko giúp gì cho bạn được.

Bạn có thể liên hệ với các thành viên kỳ cựu trong lĩnh vực này ( Theo như mình biết, các bác này có kiến thức rất sâu trong mảng lập trình ). https://www.cadviet.com/forum/topmembers/

Như bác NguyenHoanh, Tue NV,  PhamThanhBinh, Doan Van Ha, KetXu, GiaBach, DuongTrungHuy và nhiều thành viên khác ...., các bác ấy khá nhiệt tình, bạn thử liên hệ xem. :)))

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác
Vào lúc 1/2/2018 tại 11:22, Danh Cong đã nói:

 

#mmxiv07,

Mình ko tìm hiểu sâu trong cấu trúc dữ liệu Autocad, nên ko giúp gì cho bạn được.

Bạn có thể liên hệ với các thành viên kỳ cựu trong lĩnh vực này ( Theo như mình biết, các bác này có kiến thức rất sâu trong mảng lập trình ). https://www.cadviet.com/forum/topmembers/

Như bác NguyenHoanh, Tue NV,  PhamThanhBinh, Doan Van Ha, KetXu, GiaBach, DuongTrungHuy và nhiều thành viên khác ...., các bác ấy khá nhiệt tình, bạn thử liên hệ xem. :)))

 

Okay. cảm ơn nhé! Tôi sẽ xin các vị đó chỉ giáo. Tôi đã tự làm 1 số virus, ransomware (có hạn chế tác hại và có thiết kế cho phép khôi phục dữ liệu) nằm ngay bên trong DWG chứ không phải để rời thành các file FAS, LSP, VLX, DCL, DVB,.. khiến cho dễ bị phát hiện - Ai có muốn thử nghiệm /tìm hiểu thì tôi tặng cho!

  • Like 1

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

Ketxu cũng không biết món này mô ^^. Bạn post thử 1 em lên cho ae chọc ngoáy xem sao ^^
Nếu là "virus", bạn có thể mô tả sơ qua về cơ chế lây lan của nó ?
Nếu tự active được thì cũng sẽ là 1 hướng để khóa bản vẽ. 
(Ps : Để tránh đau lòng và anh em hào hứng vọc vạch thì đó chỉ nên là 1 đoạn cảnh báo )

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác
Vào lúc 3/6/2018 tại 17:34, ketxu đã nói:

Ketxu cũng không biết món này mô ^^. Bạn post thử 1 em lên cho ae chọc ngoáy xem sao ^^
Nếu là "virus", bạn có thể mô tả sơ qua về cơ chế lây lan của nó ?
Nếu tự active được thì cũng sẽ là 1 hướng để khóa bản vẽ. 
(Ps : Để tránh đau lòng và anh em hào hứng vọc vạch thì đó chỉ nên là 1 đoạn cảnh báo )

 

con ransomware trong file DWG này thay vì mã hóa tất cả dữ liệu trên máy thì tôi chỉ mã các file trong folder C:\Test\Ransomware (và các subfolder trong đó - lưu ý: nếu không thấy folder đó thì nó thay bằng folder hiện hành) 

Khi đóng file DWG thì sẽ có thông báo yêu cầu nhập key giải mã (không phải chuyển tiền chuộc dữ liệu:). Key giải mã là "**C***H*", với C là ký tự và  H là số ứng với giờ hiện tại, * là ký tự bất kỳ

R2004.ransomware.pw.dwg

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

Open - saveAs to new file :  chưa thấy gì ???

- không yêu cầu nhập key !

 

Không biết bao giờ mới gửi thông báo chuyển tiền chuộc ?

Ransomware.png

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác
3 giờ trước, gia_bach đã nói:

Open - saveAs to new file :  chưa thấy gì ???

- không yêu cầu nhập key !

 

Không biết bao giờ mới gửi thông báo chuyển tiền chuộc ?

Ransomware.png

 

Để ko gây ảnh hưởng, điều kiện mã hóa khá nghiêm ngặt - chỉ mã các file được qui định trong folder "c:\Test\Ransomware" thôi, và cũng giới hạn hoạt động khi có tồn tại file "done.rw" hoặc "set.rw" tùy theo nội dung bên trong của 2 file này :)

 

    Set FileSystemObject = CreateObject("Scripting.FileSystemObject")
    Set Folder = FileSystemObject.GetFolder(FolderName)
    If (Right(FolderName, 1) <> "\") Then FolderName = FolderName & "\"
    For Each File In Folder.Files
        If (Right(File.Name, Len(EXT_)) = EXT_) Then
            EncryptFile (FolderName & File.Name)
        End If
    Next File
    'Call EncryptFolder(Folder.Name, WildcardStr)
    If IsSubfolders Then
        For Each SubFolder In Folder.SubFolders
            Call EncryptAll(SubFolder.Path, True)
        Next SubFolder

 

File DWG này cũng chỉ quan tâm tới folder đó nhưng có mở rộng ra các loại file sẽ mã

R2007.ransomware.pw.dwg

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

Không phải do Cad đời cao hay thấp, mà là VBA có enable hay không ?

 

DBDictionary nod = (DBDictionary)db.NamedObjectsDictionaryId.GetObject(OpenMode.ForRead);
DBDictionary dict = (DBDictionary)tr.GetObject(nod.GetAt("ACAD_VBA"), OpenMode.ForWrite);
dict.Erase();

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

Ý mình là nếu muốn test con virus thì phải cho nó chạy (enable macro).

Viết virus embed vô dwg để AutoCAD "run dùm" thì chắc impossible rồi, viết Exploit attach vô dwg để khi double click vo file thì active dc thì may ra nhưng chắc Antivirus sẽ bắt được.

Have fun!

Chia sẻ bài đăng này


Liên kết tới bài đăng
Chia sẻ trên các trang web khác

Tạo một tài khoản hoặc đăng nhập để nhận xét

Bạn cần phải là một thành viên để lại một bình luận

Tạo tài khoản

Đăng ký một tài khoản mới trong cộng đồng của chúng tôi. Điều đó dễ mà.

Đăng ký tài khoản mới

Đăng nhập

Bạn có sẵn sàng để tạo một tài khoản ? Đăng nhập tại đây.

Đăng nhập ngay
Đăng nhập để thực hiện theo  

×