小議AutoCAD病毒的防范策略

趙灼輝

【摘 要】文中分析了當(dāng)前AutoCAD計(jì)算機(jī)病毒的類型和特點(diǎn)，并從預(yù)防和查殺的角度提出了相應(yīng)的防范策略，通過實(shí)踐，取得了較好的效果，具有一定的借鑒意義。

【關(guān)鍵詞】CAD；病毒；防范；策略；措施

隨著互聯(lián)網(wǎng)和信息技術(shù)的發(fā)展，計(jì)算機(jī)在社會(huì)生活各個(gè)領(lǐng)域的運(yùn)用不斷深入。隨之而來的計(jì)算機(jī)病毒感染和攻擊的事件也屢見不鮮，嚴(yán)重地干擾了人類正常的社會(huì)生活，就連AutoCAD這樣的專業(yè)繪圖軟件也無法幸免，由于設(shè)計(jì)圖紙是重要的技術(shù)文件，是指導(dǎo)工程施工管理的依據(jù)，其對(duì)計(jì)算機(jī)病毒攻擊防范的要求也顯得尤為重要。

1 感染AutoCAD病毒的主要癥狀

計(jì)算機(jī)感染AutoCAD病毒的主要癥狀是在放置圖形文件（如： *.DWG文件）的文件夾里出現(xiàn)假扮成不同形式的自動(dòng)運(yùn)行程序文件，當(dāng)啟動(dòng)AutoCAD軟件時(shí)，系統(tǒng)會(huì)自動(dòng)運(yùn)行該程序文件，出現(xiàn)各種影響計(jì)算機(jī)及軟件使用的問題，主要表現(xiàn)如下：

1.1 輕度癥狀：出現(xiàn)可疑提示，如：命令提示行出現(xiàn)亂碼或各種爛七八糟的非軟件提示；個(gè)別命令失效，如：“分解explode”，“視圖縮放zoom”等命令失效，并定義一個(gè)新的命令BRUST……；保存文件時(shí)，不出現(xiàn)對(duì)話框，顯示輸入路徑，各種鍵盤失靈，如：按下鼠標(biāo)中鍵后老是變成顯示右鍵菜單，而不是“移動(dòng)pan”命令；

1.2 中度癥狀：運(yùn)行速度降低，系統(tǒng)崩潰，經(jīng)常出現(xiàn)“死機(jī)”現(xiàn)象，詭異退出……

1.3 重度癥狀：更改和共享圖形文件數(shù)據(jù)，篡改硬盤和注冊(cè)表等。

是何種病毒感染了AutoCAD呢？

2 常見的AutoCAD病毒

嵌入圖形文件的VBA宏病毒和打開圖形文件時(shí)就自動(dòng)運(yùn)行的AutoLISP是能夠感染AutoCAD的兩種主要病毒。

2.1 VBA宏病毒

自AutoCAD2000起AutoCAD就含有VBA，從而使得VBA對(duì)象嵌入圖形文件成為可能。一旦VBA宏成為圖形文件的組成部分，則當(dāng)圖形文件加載時(shí)它就處于活躍狀態(tài)。如果該圖形文件被共享，宏就有可能感染任意一臺(tái)宏處于活躍狀態(tài)的計(jì)算機(jī)。VBA宏病毒能夠更改圖形文件的數(shù)據(jù)，進(jìn)入硬盤和注冊(cè)表，甚至能夠訪問Windows API。

2.2 基于AutoLISP的病毒

AutoLISP的病毒是基于AutoCAD軟件的內(nèi)嵌腳本語言——AutoLISP語言寫成程序文件，通常通過在打開圖形文件時(shí)就自動(dòng)運(yùn)行的AutoLISP文件發(fā)作。這類啟動(dòng)項(xiàng)AutoLISP文件包括：

（1）acad20xxdoc.lsp：它是歐特克公司提供的打開圖形文件時(shí)就運(yùn)行的文件；

（2）acad20xx.lsp：它是歐特克公司提供的啟動(dòng)AutoCAD程序時(shí)就運(yùn)行的文件；

（3）acaddoc.lsp：它是用戶建立的打開圖形文件時(shí)就運(yùn)行的文件；

（4）acad.lsp：它是啟動(dòng)AutoCAD程序時(shí)就運(yùn)行的原始文件；

通常感染AutoLISP宏病毒是通過以下這些基本途徑。典型情況是，收到包含圖形文件和其中一種啟動(dòng)項(xiàng)AutoLISP文件的.zip文件或文檔，而當(dāng)解壓到文件夾并運(yùn)行其中的圖形文件時(shí)，文件中所包含的AutoLISP文件也同時(shí)被加載，這就足以激活病毒。一旦病毒文件加載，病毒文件就會(huì)執(zhí)行。

不要小視AutoLISP文件的能量。它不但是極強(qiáng)的AutoCAD編程語言，而且能夠執(zhí)行AutoCAD命令、VBA宏運(yùn)行、采用startapp方式執(zhí)行Windows、用apps生成、修改、刪除所在計(jì)算機(jī)中的文件、對(duì)Windows注冊(cè)表有完全訪問權(quán)限。

我們常見的CAD馬威爾蠕蟲病毒（ACAD/Medre.A Malware）就是一種假扮成ACAD.FAS文件的基于autoLISP語言的程序。當(dāng)用戶從一個(gè)包含這個(gè)文件的文件夾打開一個(gè)DWG文件時(shí)，馬威爾病毒會(huì)自動(dòng)通過電子郵箱發(fā)送此DWG文件的復(fù)制品（通過SMTP協(xié)議）。

3 如何避免感染病毒

策略一：防患于未然

（1）最好的控制是預(yù)防，養(yǎng)成好的計(jì)算機(jī)使用習(xí)慣可以減少感染這類病毒的可能

目前，大多數(shù)主流殺毒軟件都能檢測(cè)出“AutoCAD病毒”并將它們加以隔離，所以我們建議用戶應(yīng)經(jīng)常更新病毒庫，采用主流防病毒解決方案軟件進(jìn)行完全病毒掃描，及時(shí)探測(cè)病毒，查看他們的系統(tǒng)是否已被感染并進(jìn)行隔離和清除。

（2）不要盲目解壓未經(jīng)檢查的壓縮文檔

AutoLISP基于的病毒通常隨同其他文件侵入系統(tǒng)。在解壓收到壓縮文檔（.zip， .rar 等等）至網(wǎng)絡(luò)或本機(jī)硬盤之前務(wù)必要檢測(cè)其內(nèi)容。要特別留意含有可執(zhí)行文件（.exe）或AutoLISP、ObjectARX文件（.arxAutoLISP文件）和VBA文件的壓縮文檔。

（3）禁止在未檢測(cè)前運(yùn)行未知的AutoLISP 文件或 VBA 宏

目前有許多有用的VBA和AutoLISP文件可供用戶和程序員下載和共享。其中的大多數(shù)也許是好的，但如果不了解文件來源，則不能假定它是安全的。VBA和AutoLISP文件是強(qiáng)有力的可運(yùn)行語言，它們不僅僅能夠影響當(dāng)前圖形文件。除非完全了解文件出處和作者，在使用文件前花時(shí)間對(duì)其加以檢測(cè)是值得的。

策略二：狹路相逢勇者勝

（1）允許AutoCAD執(zhí)行宏病毒保護(hù)

預(yù)估到宏所導(dǎo)致的潛在問題，AutoCAD軟件很早就包含了在打開圖形文件或項(xiàng)目文件時(shí)對(duì)嵌入宏的警告。在警告對(duì)話框中，可在宏運(yùn)行之前對(duì)其禁用。警告對(duì)話框默認(rèn)情況下是嵌入在 AutoCAD 中的。如果該對(duì)話框因其他原因被禁用，可這樣恢復(fù)：運(yùn)行VBARUN命令，選擇 Options 按鈕，選中“Enable macro virus protection”。此設(shè)置將保存于當(dāng)前配置文件中。

（2）免疫方法

通過對(duì)病毒代碼的分析，病毒的工作原理是利用了AutoCAD會(huì)自動(dòng)加載acaddoc.lsp文件的特性，通過讀取AutoCAD安裝目錄下support目錄下的acad.mnl和acaddoc.lsp文件的內(nèi)容來判斷電腦是否已感染病毒的，其判斷方法為讀取這2個(gè)文件中倒數(shù)第2行從第8個(gè)字符開始的7個(gè)字符是否為“acadapq”來進(jìn)行判斷，若是則表示已感染，不是表示未感染。既然如此，就可以通過欺騙病毒來達(dá)到免疫的目的。

已感染病毒的電腦的acad.mnl文件和acaddoc.lsp文件的最后2行代碼如下：

…………

（load “acadapq”）

（princ）

可以修改如下：

…………

（eval “acadapq”）

（princ）

這樣修改以后，病毒運(yùn)行時(shí)仍會(huì)判斷上述2個(gè)文件的倒數(shù)第2行從第8個(gè)字符開始的7個(gè)字符為“acadapq”，并以為電腦已感染病毒，但此時(shí)病毒程序acadapq.lsp其實(shí)已無法加載，從而實(shí)現(xiàn)了免疫。

（3）清除方法

免疫畢竟是被動(dòng)的，我們可以利用acad.mnl文件先于acaddoc.lsp文件加載的特性，通過在acad.mnl文件中加入病毒清除代碼實(shí)現(xiàn)病毒的清除：（可以將以下代碼復(fù)制粘貼到acad.nml文件中）；

以下為ACAD病毒免疫及清除代碼，對(duì)名為“acadapq.lsp”的病毒有效：

（setq virus_exl（findfile"c：＼＼boot.dat"））

（ifvirus_exl（vl-file-delete"c：＼＼boot.dat"））

（setq curdwg（getvar"dwgname"））；獲得當(dāng)前打開dwg文件名稱

（setq dwgpath（findfile curdwg））；獲得包含當(dāng)前打開dwg文件文件名的完全路徑

（setq dwgdir（substr dwgpath l（-（strlen dwgpath）（strlen curdwg））））；獲得當(dāng)前打開dwg文件所在目錄

（setq virus_ex2（findfile（strcat dwgdir"acaddoc.lsp"）））

（if virus_ex2；dwg文件所在目錄下發(fā)現(xiàn)acaddoc.lsp文件，清除之

（progn

（alert（strcat"在“"dwgdir"”目錄下發(fā)現(xiàn)acaddoc.lsp文件，該文件通常＼n是病毒，點(diǎn)擊“確定[OK]”直接刪除該文件。"））

（vl-file-delete（strcat dwgdir"acaddoc.lsp"））

）

；；else（dwg文件所在目錄下沒有發(fā)現(xiàn)acaddoc.lsp文件）

（princ"＼n當(dāng)前打開的圖形文件所在目錄下未發(fā)現(xiàn)CAD病毒?。躰）

）

（prmc）

（eval"acadapq"）

（princ）

把以上代碼添加到acad.mnl文件的最后面，刪除support目錄下的病毒文件acadapq.lsp：這樣就可以自動(dòng)刪除當(dāng)前打開的dwg文件所在目錄下的acaddoc.lsp文件了，從而實(shí)現(xiàn)了清除病毒的目的。

采取上面這些方法，經(jīng)過一年多的實(shí)踐，我電腦基本沒再受到AutoCAD病毒的侵?jǐn)_。在互聯(lián)網(wǎng)時(shí)代，計(jì)算機(jī)病毒防范將是一個(gè)永恒的話題，及時(shí)關(guān)注和學(xué)習(xí)相關(guān)的知識(shí)，多動(dòng)腦，勤動(dòng)手，才能讓自己輕松避免病毒侵入AutoCAD 工作環(huán)境。

【參考文獻(xiàn)】

[1]百度文庫常見AutoCAD病毒（acad.fas、acad.lsp）清除方法[Z].http：//wenku.baidu.com/view/a964fcb569dc5022aaea00a6.html.

[2]豆丁網(wǎng)，常見AutoCAD病毒？[Z]. http：//www.docin.com/p-252690993.html.

[責(zé)任編輯：湯靜]