什么是CAD病毒?怎么清理CAD病毒?

网上经常看到有人说自己中了CAD病毒,比如:

我的CAD打开,然后跳出一个窗口“XX,快干活”必须点“确定”这是为什么?

CAD出现显示时间和党不会亏待你之类的病毒的解决方法 ????

我的cad中毒了总是出现“不吃饭了快干活”这字样怎么能去掉呢

每次进入CAD软件时就会弹出一个窗口,说现在几点几点该休息了,要不CAD的饭碗就让你一个人抢了。我知道这是CAD的病毒,用CAD杀毒软件杀了好多次。但就是不见效。

打开CAD后出现一信息:程序作者QQ:*******

现在时间是:XX点XX分了的哦!

好好干了啦!党是不会亏待你的!

老板的眼睛是雪亮的啦!

我CAD中了病毒,中毒现象如下:

1.当中毒后不能使用图层和标注命令。

2.新建和打开图档会自动生成一个acad.vlx的文件。

3 当新建一个图档时.可以用标注命令和图层.但是当关闭后在打开图档则不能使用图层和标注命令。

除了弹出各种莫名其妙的提示对话框或文字外,还会导致CAD操作一些异常,比如移动变复制,鼠标中键无法平移,图层和标注命令无法使用,无法使用炸开平移等命令、影响二次开发软件的加载运行等。

CAD病毒10几年前就出现过,当时我见过别的机器中过CAD病毒,但当时的CAD病毒比较简单,就是利用acaddoc.lsp自动加载,当时搜索出acaddoc.lsp,将所有这样的LSP文件删除就好了。不过后来CAD病毒又有了进一步发展,可以看到网上有很多人都遇到CAD病毒,一些公司和个人也推出了CAD病毒查杀软件。其实CAD病毒和我们通常理解的电脑病毒并不一样,所谓的CAD病毒专杀文件也就是将相关的文件搜出来,删掉,假如我们没有找到CAD病毒专杀工具,或者CAD病毒专杀工具不起作用的话,我们完全可以手动来处理。

CAD病毒是怎么传播的?

所谓CAD病毒,其实就是一个CAD小的二次开发程序,它利用CAD自动加载程序自动进行加载,只对CAD起作用,有些只是一些小恶作剧,对软件操作没有什么影响,但有些却会对操作有影响。CAD病毒程序不是传统意义上的病毒,因此,用诺顿、金山毒霸等是不能杀除的,360曾经专门提供过CAD杀毒的功能,可见有一段时间CAD病毒是多么猖獗,但现在版本好像又没有了。

CAD病毒的作用机制是这样的:某台机器上没有这个病毒程序,在通过网上邻居拷贝别人的图纸时,大家经常会把整个目录拷贝过来,如果拷贝的这个目录中包含有acaddoc.lsp、acad.lsp和acadapp.lsp,你的机器就有了这个病毒,但是还没有起作用。当你用CAD打开这个图纸文件时,CAD会自动加载该目录下的acad.lsp或acaddoc.lsp,这个LSP程序会检测你的CAD支持support目录下是否有这两个文件,如果没有,它会自动在那里创建他们的副本。

以后,在你打开别的图纸时,它会在判断你要打开的图纸目录下有没有这两个文件,如果没有,它又在该目录下创建这两个文件的副本。就这样,你的机器上的dwg文件目录中逐步都有了这个程序。随着别人按照目录拷贝你的dwg文件,他们也感染上了。

因此,如果你的机器上没有CAD病毒程序,只要你从别处拷贝图纸时,只拷贝dwg文件就不会感染CAD病毒了。

病毒会直接将代码写到AUTOCAD自动加载的acadXXXX.lsp或acaddocXXXX.lsp这类文件中,有的会写到其他LSP程序中,然后在acadXXXX.lsp或acaddocXXXX.lsp添加加载这个LSP程序的代码。

CAD怎么让插件设置为自动加载?

CAD用到的各种文件格式,你都知道吗?

我们在CAD软件中输入AP,回车,打开加载对话框,可以看到一些CAD已经自动加载的程序,如下图所示。

我们可以看到CAD即使没有中CAD病毒,也会自动加载这些在支持文件搜索路径下或图纸路径下的同文件名的文件。有人认为这就是CAD病毒,其实不是,这些文件是CAD软件中自带的常规文件,但如果其中加入了恶意代码或加入了加载恶意程序的语句就变成CAD病毒了。

刚开始CAD病毒文件就是扩展名为*.lsp的文件,据说后来又升级了,变成了编译的版本*.fas和打包的版本*.vlx。

LSP 文件 (.lsp) - 包含 AutoLISP 程序代码的 ASCII 文本文件。

FAS 文件 (.fas) - 单个 LSP 程序文件的二进制编译版本。

VLX 文件 (.vlx) - 一个或多个 LSP 文件和/或对话框控制语言 (DCL) 文件的编译集合。

而且有些病毒也还做了更深的隐藏,不是直接将加载代码写到acadXXXX.lsp或acaddocXXXX.lsp,而是将一些代码写到这些程序自动加载的其他lsp程序中,还有将病毒程序伪装成其他文件,例如LOGO.GIF,然后利用自动加载程序中添加的语句将这个文件改名成acad.vlx,并复制到CAD的支持目录下的。

CAD病毒怎么预防?

其实我们了解了CAD病毒的作用原理即使利用CAD自动加载的LSP程序传播和加载,如果你的CAD现在还没有中病毒,其实预防的方法很简单,就是在复制图纸的时候,不要整个目录复制,即使整目录复制后,也要检查一下目录中是否有.fas .lsp .mnl .arx类型文件文件,如果有的话,建议删除以后再用CAD打开图纸。只要不拷贝不明的程序文件,99%不会中毒。

此外,从网上下载LSP插件和程序的时候有要小心,确认程序是正常的工具和插件后再加载使用,但还好,我从网上下载过很多种CAD插件,到还没有因为加载这些程序中CAD病毒。

装好CAD系统后,在没有被病毒感染前,将CAD安装和支持目录中的文件的属性设置为只读,可以减少中毒的机率。

CAD病毒如何查杀?

CAD病毒的种类很多,因此查杀的方法也不完全一样,其实基本方法就是将可能传播和加载病毒的相关文件都找出来删掉。

这里列举一下网上收集的各种方法,大家如果遇到病毒,可以尝试用其中的一种方法来处理一下,看是否起作用。

中毒现象一:

1.当中毒后不能使用图层和标注命令.

2. 新建和打开图档会自动生成一个acad.vlx的文件.

3 当新建一个图档时.可以用标注命令和图层.但是当关闭后在打开图档则不能使用图层和标注命令.

处理方法:

1、 仔细搜索查看CAD安装目录后我发现,Express目录的acetauto.lsp文件和Support目录的ai_utils.lsp文件都被修改了。同时Help目录内也多出了一个logo.gif文件,仔细查看它的字节大小,确定它就是这个acad.vlx文件的副本。2、打开acetauto.lsp和ai_utils.lsp文件,跟我备份的原文件对比后发现,它们都被添加了一行代码:

(vl-file-copy(findfile(vl-list->string'(108 111 103 111 46 103 105 102)))(vl-list->string'(97 99 97 100 46 118 108 120)))

这句代码的意思就是搜索CAD支持路径下是否有logo.gif文件,如有,则复制logo.gif文件到CAD支持路径并重命名为acad.vlx。这就是为什么全盘搜索acad.vlx删除后,打开CAD后又会全新生成这个acad.vlx文件的原因了。

3 、关闭CAD,全盘搜索acad.vlx删除,再将CAD的Help目录内的logo.gif文件删除即可。

中毒现象二

如果你打开CAD图纸,发现图纸上只有一句英文:MUST re_cover!,以前画的图全没有了!

这时,你不要惊慌。关闭CAD后,全盘搜索acad.vlx,将其中的一个acad.vlx文件改名为a.vlx留用,然后把搜索到的acad.vlx全部删除。

重新启动CAD,打开那个被破坏的图形文件,在“工具”菜单下“加载应用程序”,选择加载备份的a.vlx文件,在命令行输入re_cover就可以恢复被打乱隐藏的图纸了。

所有被破坏的文件修复后,关闭CAD,再全盘搜索acad.vlx一次,将搜索到的acad.vlx全部删除。

中毒现象三

出现提示对话框,党不会亏待你、好好干等等,专业软件无法正常运行,一些命令,如移动、平移操作不正常等等。

只所以将这些现象都放到一起,是因为网上也没有同意的说法,因此将这些病毒归类在一起。网上提供的方法有两种:

一、在CAD内部用语句自动搜索文件后删除,

 (while (or (setq a (findfile"acad.fas")) (setq a (findfile "lcm.fas"))) (vl-file-deletea))

这句话的意思就是在CAD的支持路径下搜索acad.fas和lcm.fas这两个文件并删除,显然这种方法只能解决针对某一种病毒的问题。

二、直接在WINDOWS资源管理器中搜索并删除相关文件。

既然要搜索和删除,就删除得彻底一些,建议将acad*.lsp、acad*.fas、acad*.vlx、acad*.mnl这些CAD可能自动加载的文件都搜出来后,全部删除掉。其实如果对LISP程序有一定了解,到可以研究一下CAD目录下那些上述扩展名的文件有变化,而且同一个文件名文件出现在图纸目录下或ACAD目录下,这样的文件就很有可能是病毒。

在删除这些文件后我们可以启动一下CAD,看看症状是否消除。比如有些CAD病毒会修改CAD的一些变量,比如导致出现鼠标中间无法平移、填充无法显示等,很多人在网上搜索类似问题的答案,修改变量后仍不起作用就是病毒在起作用,在将病毒相关文件删除后可以再次尝试修改这些变量,看看这些变量设置是否有效,网上提供了设置相关变量的语句,可以直接将这些语句复制到命令行来设置变量,语句如下:

(setvar "zoomfactor" 40)(setvar"mbuttonpan"1)(setvar"HIGHLIGHT" 1)(setvar "fillmode" 1)

zoomfactor是缩放因子,可以控制鼠标滚轮缩放时每次滚动缩放的比例

mbuttonpan是设置鼠标中间是否可以平移

HIGHLIGHT是设置图形选中后是否高亮显示

fillmode是设置填充是否显示的变量

我们也可以直接在命令上输入上述变量,回车后,输入后面的值,当然如果我们CAD中毒后没有出现上述症状,就不用再设置这些变量了。

如果删除了上述文件后相关症状还没有消除的话,我们可以检查一下CAD安装和APPDATA目录中LISP程序有什么变化,比如修改日期跟同目录的其他文件不一样,可以检查一下是否有CAD病毒相关代码。

确认哪个程序可能包含可疑代码并不太容易,可以再将CAD安装和搜索路径中所有*.lsp、*.fas、*.vlx、*.mnl都搜索出来删除,启动CAD再检查。

还有更彻底的方法就是将CAD卸载并将CAD安装和APPDATA中CAD相关的目录删除空,将所有有可能是CAD病毒的文件或包含加载病毒代码的文件都删除了;然后再重新安装CAD,这也是最后一招了。

如果我们删除了acad开头的LSP相关文件后CAD软件基本运行正常了,但这些文件删除可能会影响CAD上的一些二次开发软件的启动和运行,如果出现这种问题,需要重新安装或修复专业软件。

CAD病毒可以叫做AUTOCAD病毒,因为这些病毒都是针对AUTOCAD的自动加载机制开发的恶意小程序,因为其他CAD软件自动加载的文件名不同,例如浩辰CAD的相关文件是gcad开头的,所以这些病毒不会影响浩辰CAD等这些软件。

虽然网上有很多人遇到过CAD病毒,但没有遇到CAD病毒的人还是多数,假如你现在还没有中过CAD病毒,只需要在复制图纸时注意目录下非DWG文件是否有类似CAD病毒的文件,只要做好预防,你就不会受到CAD病毒的困扰。

大家有人遇到过CAD病毒,不妨将此类搜出来的文件达成压缩包,我倒有兴趣研究一下,验证一下上面从网上收集的一些解决方法。

推荐阅读更多精彩内容