辦公室的電腦最近受到病毒感染。症狀是開啟 AutoCAD 時,會在 Documents and Settings\username\My Documents 目錄以及 Application Data 裡的 AutoCAD 使用者設定目錄裡產生一個名為 acad.fas 的檔案;或是,用滑鼠點擊兩次 dwg 檔開啟時,則會在圖檔所在目錄及使用者設定目錄產生 acad.fas。acad.fas 是隱藏檔,所以不容易引起注意,對電腦使用似乎也不會產生影響。會發現它是因為好像出現了變種病毒,此變種會竄改 acad20xx.fas 檔案,使得辦公室自行撰寫的 LISP 指令失效。
fas 檔是編譯過後的 lsp 檔,目的在加快 LISP 載入的速度。正常的 AutoCAD 並沒有 acad.fas 這個檔案,而是 acad20xx.fas(20xx 是版本編號,如 AutoCAD 2010 就是 acad2010.fas)。由於 AutoCAD 在啟動時會搜尋使用者設定目錄(Documents and Settings\username\)、預設的支援檔目錄、及圖檔所在目錄是否存在檔名帶有 acad 的 lsp 或 fas 檔案並執行;因此若其他人開啟被感染目錄的圖檔,就會中毒。
目前對感染途徑的懷疑是:可能是某人的隨身碟在辦公室外被感染,回到辦公室後感染了個人電腦,繼而感染公用的檔案伺服器,然後又感染了其他的電腦。
上網查找病毒的解決方法,多半只是說找出 acad.fas 檔,並將其刪除就能解決。但我們在刪除檔案後這個檔案又不斷出現,因此必定有幕後黑手存在。在眾多類似的訊息中,我發現了一個 VirSCAN.org 網站,這是一個非商業性網站,目前包含 37 個安全廠商提供的掃毒引擎,讓使用者能夠上傳可疑檔案進行線上掃描,並提供建議。將 acad.fas 上傳掃描,只有三家廠商有掃描出病毒,他們是微軟、賽門鐵克(諾頓, Norton)、和趨勢科技。
分別下載微軟的惡意程式掃描軟體 Microsoft Safety Scanner 和 Norton 試用版掃毒。微軟只能刪除系統內的 acad.fas 檔,但使用 AutoCAD 後該檔還是繼續出現。改用 Norton 後問題似乎能夠解決,在暫時關閉防毒軟體並啟動 AutoCAD 後,acad.fas 就沒有再出現了。
辦公室的 acad.fas 幕後黑手是 ALS.Kenilfe,是用 AutoLISP 撰寫竊取個人資料的高危險惡意程式。
沒有留言:
張貼留言