【奇技淫巧】利用CAD进行APT攻击

       CAD 文件DWG文件 后面有acad.lsp 或者acaddoc.lsp 会自动加载  lsp能添加管理员账户
以下是感染部分（转的）
       最近自己的电脑中了CAD病毒，症状为打开一个dwg文件后，在该dwg文件所在目录下就会自动生成一个“acaddoc.lsp”文件，即使手工将其删除，下次打开dwg文件时又会自动生成。如果把dwg文件和acaddoc.lsp文件一起复制到另外一部未感染CAD病毒的电脑上，只要一打开该dwg文件，则该电脑就会被感染。因为这个CAD病毒是个lisp程序，花了些时间对病毒代码进行分析如下：
-----------------下面是病毒代码-----------------------------

       从以上对病毒代码的分析可知，该病毒的病毒文件有2个，一个为acadapq.lsp，位于ACAD安装目录下的support目录下，另一个为acaddoc.lsp，位于当前打开的dwg文件所在目录下，2个病毒文件的内容相同。病毒的工作原理是利用了AutoCAD会自动加载acaddoc.lsp文件的特性，在ACAD启动时自动加载的是support目录下的acaddoc.lsp文件；而当打开一个dwg时，如果该dwg文件所在目录下有acaddoc.lsp文件，则会优先自动加载该acaddoc.lsp文件，从而实现病毒的感染过程。

       已询问AUTOCAD官方，这是CAD的一种机制，关闭不了。

本文始发于微信公众号（T00ls）：【奇技淫巧】利用CAD进行APT攻击