فيرس الاتوكاد

ارجو ارسال هذه الرسالة لكل من يعمل على الاتوكاد لنتعاون على القضاء على الفيرس

للقضاء على الفيرس قم بالغاء الملفات

acad.lsp acaddoc.lsp acad.vlx acaddoc.fas من على الاجهزة و الشبكة

افتح الملف acad.mnl, (تجده في ملف السبورت) في محرر النصوص و احذف

(load "acadapp") (princ)

هنا حل من اتوديسك نفسها http://usa.autodesk.com/adsk/servlet/ps/item?siteID=123112&id=1290375... http://usa.autodesk.com/adsk/servlet/ps/dl/item?siteID=123112&id=1371... حل اخر قم يتحميل هذا الليسب و تفعيلة http://www.cadnauseam.com/download/clean_virus_safe.lsp http://www.blog.cadnauseam.com/2009/08/14/autocad-virus-protection-

و اسم الفيرس ALS.Bursted.B و مصنوع بلغة الاتوليسب و يقوم بنسخ نفسة في ملفات السبورت باسم "acadapp.lsp"

اعراض الفيرس ينسخ نفسه في ملف العمل و تفاجئ بتغير الاختصارات التى تعمل بها وا ن هناك اومر لا تعمل معك EXPLODE, XREF and XBIND



العلاج من شركة نورتون http://www.symantec.com/security_response/writeup.jsp?docid=2005-1117...

و هناك حل وهو جعل المتغير acadlspasdoc =0 الفيرس يقوم بتغيره الى  1 عندما يكون ب 1 لا يتم تحميل الملف كل جلسة

بالاضافة الى ذلك قم بالغاء الملف ACADAPP.LSP

و قم بالغاء هذه العبارة

(load"acadapp") (princ)

من الملف ACAD.LSP file (in the support directory) و ايضا من الملف ACAD.MNL file (in the support directory)

حل اخر قم يتحميل هذا الليسب و تفعيلة http://www.cadnauseam.com/download/clean_virus_safe.lsp

http://www.blog.cadnauseam.com/2009/08/14/autocad-virus-protection-up...

http://www.sophos.com/products/free-tools/sophos-threat-detection-test.html?utm_source=Non-campaign&utm_medium=Cross%20link&utm_campaign=Analyses-TDT-promoاتمنى ان اكون افدتكم

صورة للفيرس http://www.4shared.com/file/198476680/2fb0d67f/not_acttive.html http://www.4shared.com/file/198489001/4ed097d4/not_acttive.html

حاول ان تتعود على فتح الملفات من FILE ---> OPEN

اذا كان لديك ملف مصاب بالفيرس و يكتب كلمة MUST re_cover فلن ينفع الريكفير العادي الخا ص بالاتوكاد جرب كتابة re_cover

لمزيد من التوسع ملاحظة للجميع : الفيروس لا يعلق في ملف الأوتوكاد نفسه ولكن يقوم بعمل تخريب في ملفات برنامج الأوتوكاد نفسها ليضرب بذلك الملفات التي تم فتحها... مع العلم أن الفيروس لا يضرب كل الملفات التي تفتح ولكن يخرب الملفات بشكل عشوائي ربما في اليوم ملف وربما كل أسبوع ملفين أو ثلاث ملفات بحيث الشخص لا يشعر بوجوده ويظن أن هناك خلل مؤقت أو Error بسيط ويبدأ يخسر ملفاته واحدا تلو الآخر.... من شدة خباثة الفيروس انه يمسح ملفات الــ Backup الخاصة بالملف المضروب نهائيا من الهارد بحيث لا تجد أثرا لها ومؤكد أنه يضربها ثم يحذفها كما يفعل مع الملف الأساسي بحيث لو إسترجعتها ببرامج إسترجاع الملفات ستجدها مضروبة كالملف الأصلي.

آلية عمل الفايروس أنه لحظة فتح الملف يقوم بحذف محتوياته ثم يقوم بعمل زوبعة حلزونية من الأقواس الحلزونية عددها كبير جدا وحجمها يكون مقارب لحجم الملف الأصلي بحيث تشعر وكأن شيئا لم يحدث للملف من ناحية نقصان الحجم ثم يقوم الفيروس بإخفاء هذه الزوبعة وقد قمت بإظهارها بإستخدام لغة الأوتوليسب ولا يمكن إظهارها إلا بهذه الطريقة ثم يقوم الفايروس بحفظ التغييرات وحذف جميع الـــ Backup المتعلق بهذا الملف أينما وجد في الكمبيوتر حتى الملفات المؤقتة في مجلد الــ Temp يقوم بحذفها ومن المعلوم أنك لو لو فتحت أي ملف من أي نوع ثم حذفت ما بداخله ثم حفظت التغييرات وأغلقت الملف فلا أمل في إسترجاعه اللهم إلا لو كان لديك نسخة مطابقة للملف في مكان آخر .....

- الأصل أن الفيروسات تصيب الملفات التنفيذية executive بينما لا تصيب ملفات ال data . 2 - أكثر ملفات الأوتوكاد هي ملفات data و ليست عرضة للإصابة . 3 - توجد ملفات أوتوكاد تتضمن أوامر مسؤولة عن تحميل أو تنفيذ ملفات تنفيذية مثل ملفات الأوتوليسب .. هذا النوع من الملفات هو المعرض للإصابة ... ................................ حديثي السابق كله عن ملفات ال data التي تتعرض بعض المعلومات المخزنة عليها إلى التلف أو الفقد و هذه الملفات يتم اصلاحها باستخدام الأمر recover على النحو الذي بينته سابقا .. و هذا لا علاقة له بالفيروسات . ............................. الشيء الجديد هنا عن فيروسات تصيب ملفات الأوتوكاد .. و يجب التأكيد على أنه عند عمل scan باستخدام Antivirus لن يجد أي فيروسات .. وانا جربت ذلك بنفسي حيث حصلت على عدة ملفات مصابة ( تالفة ) و تظهر كتابة " must re_cover " و قمت بعمل scan لها و و طبعا لم يكتشف أي شيء .. مع العلم أن نسخة الAntivirus و الويندوز و الاوتوكاد عندي كلها أصلية و مرخصة و يتم تحديثا من النت باستمرار . و هذا معناه ان هذه أوامر يتم تحميلها و تنفيذها داخل الاوتوكاد و ليست فيروسات من النوع المعتاد الذي يمكن اكتشافة بال Anti virus .

الفيرس يقوم ببعض الحيل لافساد حياتك لاصلاح ما افسده

1- mbuttonpan ثم انتر ثم ادخال القيمة واحد ثم انتر وهذا يجعل بكرة الماوس تعمل كزووم بدلا من قائمة osnap 2- zoomfactor ثم انتر ثم ادخال القيمة 80 ثم انتر وهذا الامر يعمل على تسريع الزووم ببكرة الماوس علملا بان القيمة بين 10 و 100 و100 اسرع زووم ممكن 3- fill ثم انتر ثم اختيار on ثم انتر ثم re ثم انتر وهذان الامران يعملان على اظهار التهشير

تعليقات

إرسال تعليق

المشاركات الشائعة