فيرس الاتوكاد
ارجو ارسال هذه الرسالة لكل من يعمل على الاتوكاد لنتعاون على القضاء على الفيرس
للقضاء على الفيرس قم بالغاء الملفات
acad.lsp acaddoc.lsp acad.vlx acaddoc.fas من على الاجهزة و الشبكة
افتح الملف acad.mnl, (تجده في ملف السبورت) في محرر النصوص و احذف
(load "acadapp") (princ)
هنا حل من اتوديسك نفسها http://usa.autodesk.com/adsk/servlet/ps/item?siteID=123112&id=1290375... http://usa.autodesk.com/adsk/servlet/ps/dl/item?siteID=123112&id=1371... حل اخر قم يتحميل هذا الليسب و تفعيلة http://www.cadnauseam.com/download/clean_virus_safe.lsp http://www.blog.cadnauseam.com/2009/08/14/autocad-virus-protection-
و اسم الفيرس ALS.Bursted.B و مصنوع بلغة الاتوليسب و يقوم بنسخ نفسة في ملفات السبورت باسم "acadapp.lsp"
اعراض الفيرس ينسخ نفسه في ملف العمل و تفاجئ بتغير الاختصارات التى تعمل بها وا ن هناك اومر لا تعمل معك EXPLODE, XREF and XBIND
العلاج من شركة نورتون http://www.symantec.com/security_response/writeup.jsp?docid=2005-1117...
و هناك حل وهو جعل المتغير acadlspasdoc =0 الفيرس يقوم بتغيره الى 1 عندما يكون ب 1 لا يتم تحميل الملف كل جلسة
بالاضافة الى ذلك قم بالغاء الملف ACADAPP.LSP
و قم بالغاء هذه العبارة
(load"acadapp") (princ)
من الملف ACAD.LSP file (in the support directory) و ايضا من الملف ACAD.MNL file (in the support directory)
حل اخر قم يتحميل هذا الليسب و تفعيلة http://www.cadnauseam.com/download/clean_virus_safe.lsp
http://www.blog.cadnauseam.com/2009/08/14/autocad-virus-protection-up...
http://www.sophos.com/products/free-tools/sophos-threat-detection-test.html?utm_source=Non-campaign&utm_medium=Cross%20link&utm_campaign=Analyses-TDT-promoاتمنى ان اكون افدتكم
صورة للفيرس http://www.4shared.com/file/198476680/2fb0d67f/not_acttive.html http://www.4shared.com/file/198489001/4ed097d4/not_acttive.html
حاول ان تتعود على فتح الملفات من FILE ---> OPEN
اذا كان لديك ملف مصاب بالفيرس و يكتب كلمة MUST re_cover فلن ينفع الريكفير العادي الخا ص بالاتوكاد جرب كتابة re_cover
لمزيد من التوسع ملاحظة للجميع : الفيروس لا يعلق في ملف الأوتوكاد نفسه ولكن يقوم بعمل تخريب في ملفات برنامج الأوتوكاد نفسها ليضرب بذلك الملفات التي تم فتحها... مع العلم أن الفيروس لا يضرب كل الملفات التي تفتح ولكن يخرب الملفات بشكل عشوائي ربما في اليوم ملف وربما كل أسبوع ملفين أو ثلاث ملفات بحيث الشخص لا يشعر بوجوده ويظن أن هناك خلل مؤقت أو Error بسيط ويبدأ يخسر ملفاته واحدا تلو الآخر.... من شدة خباثة الفيروس انه يمسح ملفات الــ Backup الخاصة بالملف المضروب نهائيا من الهارد بحيث لا تجد أثرا لها ومؤكد أنه يضربها ثم يحذفها كما يفعل مع الملف الأساسي بحيث لو إسترجعتها ببرامج إسترجاع الملفات ستجدها مضروبة كالملف الأصلي.
آلية عمل الفايروس أنه لحظة فتح الملف يقوم بحذف محتوياته ثم يقوم بعمل زوبعة حلزونية من الأقواس الحلزونية عددها كبير جدا وحجمها يكون مقارب لحجم الملف الأصلي بحيث تشعر وكأن شيئا لم يحدث للملف من ناحية نقصان الحجم ثم يقوم الفيروس بإخفاء هذه الزوبعة وقد قمت بإظهارها بإستخدام لغة الأوتوليسب ولا يمكن إظهارها إلا بهذه الطريقة ثم يقوم الفايروس بحفظ التغييرات وحذف جميع الـــ Backup المتعلق بهذا الملف أينما وجد في الكمبيوتر حتى الملفات المؤقتة في مجلد الــ Temp يقوم بحذفها ومن المعلوم أنك لو لو فتحت أي ملف من أي نوع ثم حذفت ما بداخله ثم حفظت التغييرات وأغلقت الملف فلا أمل في إسترجاعه اللهم إلا لو كان لديك نسخة مطابقة للملف في مكان آخر .....
- الأصل أن الفيروسات تصيب الملفات التنفيذية executive بينما لا تصيب ملفات ال data . 2 - أكثر ملفات الأوتوكاد هي ملفات data و ليست عرضة للإصابة . 3 - توجد ملفات أوتوكاد تتضمن أوامر مسؤولة عن تحميل أو تنفيذ ملفات تنفيذية مثل ملفات الأوتوليسب .. هذا النوع من الملفات هو المعرض للإصابة ... ................................ حديثي السابق كله عن ملفات ال data التي تتعرض بعض المعلومات المخزنة عليها إلى التلف أو الفقد و هذه الملفات يتم اصلاحها باستخدام الأمر recover على النحو الذي بينته سابقا .. و هذا لا علاقة له بالفيروسات . ............................. الشيء الجديد هنا عن فيروسات تصيب ملفات الأوتوكاد .. و يجب التأكيد على أنه عند عمل scan باستخدام Antivirus لن يجد أي فيروسات .. وانا جربت ذلك بنفسي حيث حصلت على عدة ملفات مصابة ( تالفة ) و تظهر كتابة " must re_cover " و قمت بعمل scan لها و و طبعا لم يكتشف أي شيء .. مع العلم أن نسخة الAntivirus و الويندوز و الاوتوكاد عندي كلها أصلية و مرخصة و يتم تحديثا من النت باستمرار . و هذا معناه ان هذه أوامر يتم تحميلها و تنفيذها داخل الاوتوكاد و ليست فيروسات من النوع المعتاد الذي يمكن اكتشافة بال Anti virus .
الفيرس يقوم ببعض الحيل لافساد حياتك لاصلاح ما افسده
1- mbuttonpan ثم انتر ثم ادخال القيمة واحد ثم انتر وهذا يجعل بكرة الماوس تعمل كزووم بدلا من قائمة osnap 2- zoomfactor ثم انتر ثم ادخال القيمة 80 ثم انتر وهذا الامر يعمل على تسريع الزووم ببكرة الماوس علملا بان القيمة بين 10 و 100 و100 اسرع زووم ممكن 3- fill ثم انتر ثم اختيار on ثم انتر ثم re ثم انتر وهذان الامران يعملان على اظهار التهشير
للقضاء على الفيرس قم بالغاء الملفات
acad.lsp acaddoc.lsp acad.vlx acaddoc.fas من على الاجهزة و الشبكة
افتح الملف acad.mnl, (تجده في ملف السبورت) في محرر النصوص و احذف
(load "acadapp") (princ)
هنا حل من اتوديسك نفسها http://usa.autodesk.com/adsk/servlet/ps/item?siteID=123112&id=1290375... http://usa.autodesk.com/adsk/servlet/ps/dl/item?siteID=123112&id=1371... حل اخر قم يتحميل هذا الليسب و تفعيلة http://www.cadnauseam.com/download/clean_virus_safe.lsp http://www.blog.cadnauseam.com/2009/08/14/autocad-virus-protection-
و اسم الفيرس ALS.Bursted.B و مصنوع بلغة الاتوليسب و يقوم بنسخ نفسة في ملفات السبورت باسم "acadapp.lsp"
اعراض الفيرس ينسخ نفسه في ملف العمل و تفاجئ بتغير الاختصارات التى تعمل بها وا ن هناك اومر لا تعمل معك EXPLODE, XREF and XBIND
العلاج من شركة نورتون http://www.symantec.com/security_response/writeup.jsp?docid=2005-1117...
و هناك حل وهو جعل المتغير acadlspasdoc =0 الفيرس يقوم بتغيره الى 1 عندما يكون ب 1 لا يتم تحميل الملف كل جلسة
بالاضافة الى ذلك قم بالغاء الملف ACADAPP.LSP
و قم بالغاء هذه العبارة
(load"acadapp") (princ)
من الملف ACAD.LSP file (in the support directory) و ايضا من الملف ACAD.MNL file (in the support directory)
حل اخر قم يتحميل هذا الليسب و تفعيلة http://www.cadnauseam.com/download/clean_virus_safe.lsp
http://www.blog.cadnauseam.com/2009/08/14/autocad-virus-protection-up...
http://www.sophos.com/products/free-tools/sophos-threat-detection-test.html?utm_source=Non-campaign&utm_medium=Cross%20link&utm_campaign=Analyses-TDT-promoاتمنى ان اكون افدتكم
صورة للفيرس http://www.4shared.com/file/198476680/2fb0d67f/not_acttive.html http://www.4shared.com/file/198489001/4ed097d4/not_acttive.html
حاول ان تتعود على فتح الملفات من FILE ---> OPEN
اذا كان لديك ملف مصاب بالفيرس و يكتب كلمة MUST re_cover فلن ينفع الريكفير العادي الخا ص بالاتوكاد جرب كتابة re_cover
لمزيد من التوسع ملاحظة للجميع : الفيروس لا يعلق في ملف الأوتوكاد نفسه ولكن يقوم بعمل تخريب في ملفات برنامج الأوتوكاد نفسها ليضرب بذلك الملفات التي تم فتحها... مع العلم أن الفيروس لا يضرب كل الملفات التي تفتح ولكن يخرب الملفات بشكل عشوائي ربما في اليوم ملف وربما كل أسبوع ملفين أو ثلاث ملفات بحيث الشخص لا يشعر بوجوده ويظن أن هناك خلل مؤقت أو Error بسيط ويبدأ يخسر ملفاته واحدا تلو الآخر.... من شدة خباثة الفيروس انه يمسح ملفات الــ Backup الخاصة بالملف المضروب نهائيا من الهارد بحيث لا تجد أثرا لها ومؤكد أنه يضربها ثم يحذفها كما يفعل مع الملف الأساسي بحيث لو إسترجعتها ببرامج إسترجاع الملفات ستجدها مضروبة كالملف الأصلي.
آلية عمل الفايروس أنه لحظة فتح الملف يقوم بحذف محتوياته ثم يقوم بعمل زوبعة حلزونية من الأقواس الحلزونية عددها كبير جدا وحجمها يكون مقارب لحجم الملف الأصلي بحيث تشعر وكأن شيئا لم يحدث للملف من ناحية نقصان الحجم ثم يقوم الفيروس بإخفاء هذه الزوبعة وقد قمت بإظهارها بإستخدام لغة الأوتوليسب ولا يمكن إظهارها إلا بهذه الطريقة ثم يقوم الفايروس بحفظ التغييرات وحذف جميع الـــ Backup المتعلق بهذا الملف أينما وجد في الكمبيوتر حتى الملفات المؤقتة في مجلد الــ Temp يقوم بحذفها ومن المعلوم أنك لو لو فتحت أي ملف من أي نوع ثم حذفت ما بداخله ثم حفظت التغييرات وأغلقت الملف فلا أمل في إسترجاعه اللهم إلا لو كان لديك نسخة مطابقة للملف في مكان آخر .....
- الأصل أن الفيروسات تصيب الملفات التنفيذية executive بينما لا تصيب ملفات ال data . 2 - أكثر ملفات الأوتوكاد هي ملفات data و ليست عرضة للإصابة . 3 - توجد ملفات أوتوكاد تتضمن أوامر مسؤولة عن تحميل أو تنفيذ ملفات تنفيذية مثل ملفات الأوتوليسب .. هذا النوع من الملفات هو المعرض للإصابة ... ................................ حديثي السابق كله عن ملفات ال data التي تتعرض بعض المعلومات المخزنة عليها إلى التلف أو الفقد و هذه الملفات يتم اصلاحها باستخدام الأمر recover على النحو الذي بينته سابقا .. و هذا لا علاقة له بالفيروسات . ............................. الشيء الجديد هنا عن فيروسات تصيب ملفات الأوتوكاد .. و يجب التأكيد على أنه عند عمل scan باستخدام Antivirus لن يجد أي فيروسات .. وانا جربت ذلك بنفسي حيث حصلت على عدة ملفات مصابة ( تالفة ) و تظهر كتابة " must re_cover " و قمت بعمل scan لها و و طبعا لم يكتشف أي شيء .. مع العلم أن نسخة الAntivirus و الويندوز و الاوتوكاد عندي كلها أصلية و مرخصة و يتم تحديثا من النت باستمرار . و هذا معناه ان هذه أوامر يتم تحميلها و تنفيذها داخل الاوتوكاد و ليست فيروسات من النوع المعتاد الذي يمكن اكتشافة بال Anti virus .
الفيرس يقوم ببعض الحيل لافساد حياتك لاصلاح ما افسده
1- mbuttonpan ثم انتر ثم ادخال القيمة واحد ثم انتر وهذا يجعل بكرة الماوس تعمل كزووم بدلا من قائمة osnap 2- zoomfactor ثم انتر ثم ادخال القيمة 80 ثم انتر وهذا الامر يعمل على تسريع الزووم ببكرة الماوس علملا بان القيمة بين 10 و 100 و100 اسرع زووم ممكن 3- fill ثم انتر ثم اختيار on ثم انتر ثم re ثم انتر وهذان الامران يعملان على اظهار التهشير
Related articles
- Autodesk_Navisworks_Manage_2009 (draftsman.wordpress.com)
[…] انه ليس فيرس […]
ردحذف