Đến nội dung


Hình ảnh
- - - - -

Virus acad.fas


  • Please log in to reply
30 replies to this topic

#1 hiep_hp

hiep_hp

    biết vẽ circle

  • Members
  • PipPip
  • 30 Bài viết
Điểm đánh giá: 11 (tàm tạm)

Đã gửi 06 June 2009 - 11:48 AM

Thằng đệ nó in nhờ mấy bản CAD trên máy. Em cứ để nó tự chép vào ko để ý.
Bây giờ mở CAD ra là nó có một Message báo lỗi, toàn những chữ linh tinh ko đọc được.
Em tìm trong thư mục chứa file vừa mở thì có thằng này đây. (password: www.cadviet.com)
http://www.cadviet.c...es/acad.fas.zip
Em nhờ các bác, bác nào biết thì xử lý giùm bỏ nó đi nhé. Xin cám ơn.
  • 0

#2 q288

q288

    biết lệnh fillet

  • Members
  • PipPipPipPip
  • 209 Bài viết
Điểm đánh giá: 164 (tàm tạm)

Đã gửi 07 June 2009 - 01:53 PM

Đây là virus "made in China" tên là ALS_CHENGWA.A. Mình cũng chưa biết cách "trị" nó nhưng bạn thử cho biến
ACADLSPASDOC=0 xem sao (chỉ để vô hiệu hóa file acad.fas thôi)
Nếu máy bạn có đặt System Restore thì bạn vào Start->Run->msconfig nhấn nút System Restore và chọn ngày
trước khi bạn bị nhiễm virus.
Chúc bạn thành công.
  • 0

#3 Nguyen Hoanh

Nguyen Hoanh

    biết lệnh adcenter

  • Moderator
  • PipPipPipPipPipPipPip
  • 4106 Bài viết
Điểm đánh giá: 4495 (đỉnh cao)

Đã gửi 07 June 2009 - 02:41 PM

Trend Micro thì gọi nó là ALS_CHENGWA.A, Kaspersky gọi nó là Trojan.Acad.Qfas.a, BKAV gọi nó là W32.AcadDwgRun.Trojan.

Vì nó ở định dạng .fas nên chúng ta gặp khó khăn khi xác định nó đã làm gì với hệ thống. Thông qua một số tài liệu trên mạng thì convirus này khá phức tạp. Virus này làm những việc sau:
- Copy chính nó vào tất cả các thư mục trong Search path.
- Nó copy chính nó (acad.fas) và acad.sys vào thư mục Windows (C:\Windows) rồi đổi tên acad.fas thành winfas.ini và đổi tên acad.sys thành winsys.ini.
- Nó tạo ra dwgrun.bat trong thư mục hệ thống windows (C:\Windows\System32 hoặc C:\Windows\SysWOW64). File dwgrun.bat của nó thực thi việc làm ẩn file acad.sys và acad.fas rồi nhân bản chúng:
attrib -r +h "MyDriveLetter:\MyServerSupportPath\acad.sys"
copy "C:\WINDOWS\winsys.ini" "MyDriveLetter:\MyServerSupportPath\acad.sys"
attrib -r +h "MyDriveLetter:\MyServerSupportPath\acad.fas"
copy "C:\WINDOWS\winfas.ini" "MyDriveLetter:\MyServerSupportPath\acad.fas"
- Tạo một mục trong registry để windows tự động gọi file dwgrun.bat (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) mỗi khi windows khởi động.
- Nó disable một số lệnh thường dùng gây khó khăn cho người sử dụng.

Như vậy, việc diệt nó bằng tay cũng không phải là quá khó khăn. Bạn hãy thử làm như sau:
1. Turn off System restore của windows: phải chuột vào my computer rồi chọn properties, trong hộp thoại System Properties, chọn tab system restore. Click để chọn Turn off System Restore on all drives. Click OK. Nếu có hộp thoại nào hiện ra, nhấn Yes.
2. Vào start > run, Gõ msconfig, trong hộp thoại Startup, bỏ check tại ô dwgrun.bat. Nhấn ok.
3. Tìm tất cả các file acad.fas, acad.sys, winsys.ini, winfas.ini trong máy tính của bạn rồi xóa đi.
4. Vào start > run, gõ Regedit, chọn đến HKEY_CURRENT_USER\acadlcm rồi xóa mục bd.

Phần mềm BKAV cũng đã diệt được con này, các bạn xem thông tin ở đây

Chúng tôi đang nghiên cứu và sẽ cập nhật phần diệt nó vào CADViet Antivirus.
------------------
p/s: cá nhân tôi rất thắc mắc, không hiểu con virus này lây theo đường nào. Bởi vì về lý thuyết acad.fas không thể tự động thực thi khi không có chương trình khác gọi nó hoặc người dùng gọi nó. Khác với acad.lsp tự động thực thi khi người dùng mở file dwg, acad.fas không có 'đặc quyền' đó (danh sách các file tự động được thực thi). Mặc dù vậy trên thực tế thì AutoCAD vẫn gọi acad.fas khi nó nằm trên thư mục support.
Khi tôi thử load file acad.fas này vào chương trình ACAD 2009 thì nó báo lỗi, vì vậy chưa thử lây nhiễm lên chính máy mình được.
  • 2

#4 q288

q288

    biết lệnh fillet

  • Members
  • PipPipPipPip
  • 209 Bài viết
Điểm đánh giá: 164 (tàm tạm)

Đã gửi 07 June 2009 - 05:27 PM

p/s: cá nhân tôi rất thắc mắc, không hiểu con virus này lây theo đường nào. Bởi vì về lý thuyết acad.fas không thể tự động thực thi khi không có chương trình khác gọi nó hoặc người dùng gọi nó. Khác với acad.lsp tự động thực thi khi người dùng mở file dwg, acad.fas không có 'đặc quyền' đó (danh sách các file tự động được thực thi). Mặc dù vậy trên thực tế thì AutoCAD vẫn gọi acad.fas khi nó nằm trên thư mục support.
Khi tôi thử load file acad.fas này vào chương trình ACAD 2009 thì nó báo lỗi, vì vậy chưa thử lây nhiễm lên chính máy mình được.

Virus này dường như chỉ ảnh hưởng cad cũ thôi. Mình lại thấy có danh sách thứ tự load khác ở đó file acad.fas load trước acad.lsp. Mình nghĩ chắc do "thằng đệ" của bạn hiep_hp nhấp đúp vào file dwg mà trong thư mục đó có file acad.fas khi đó chương trình gọi nó là acad.exe sẽ bị nhiễm ngay.
Mình cũng thử cho máy nhiễm virus này, cuối cùng phải system restore mới hết. Các file dwgrun.bat gì đó mình tìm hoài ko thấy. Nếu bkav trị đc thì tốt lắm.
  • 0

#5 hiep_hp

hiep_hp

    biết vẽ circle

  • Members
  • PipPip
  • 30 Bài viết
Điểm đánh giá: 11 (tàm tạm)

Đã gửi 08 June 2009 - 12:05 AM

Cám ơn các bác, đặc biệt là bác Hoành đã quan tâm giúp đỡ. Thứ hai em sẽ làm theo hướng dẫn xem có được ko vì máy đó trên văn phòng. Máy nhà và L top thì ko bị sao cả.
À quên; to bác q288: Tất cả các máy đều xài CAD 2007.
  • 0

#6 dovachi

dovachi

    Chưa sử dụng CAD

  • Members
  • Pip
  • 4 Bài viết
Điểm đánh giá: 0 (bình thường)

Đã gửi 25 September 2009 - 03:19 AM

Thằng đệ nó in nhờ mấy bản CAD trên máy. Em cứ để nó tự chép vào ko để ý.
Bây giờ mở CAD ra là nó có một Message báo lỗi, toàn những chữ linh tinh ko đọc được.
Em tìm trong thư mục chứa file vừa mở thì có thằng này đây. (password: www.cadviet.com)
http://www.cadviet.c...es/acad.fas.zip
Em nhờ các bác, bác nào biết thì xử lý giùm bỏ nó đi nhé. Xin cám ơn.

Máy bạn đã bi nhiễm virus acad.fas rồi. Mình cũng bị nhiễm, đọc đi đọc lại các diễn đàn người đưa ra cách này hoặc cách khác mình làm hoài ko được. Cuối cùng mình củ chuối vào seach file acad.fas trong C:\Documents and Settings\Administrator\Application Data\Autodesk\AutoCAD 2008\R17.0\enu\Support rồi xoá béng nó đi .... may quá thế lại được. bạn thử làm như mình xem move là move, copy là copy, ko bị chuyển đổi, ức chế lắm.
  • 0

#7 hoangsamdiendan

hoangsamdiendan

    Chưa sử dụng CAD

  • Members
  • Pip
  • 1 Bài viết
Điểm đánh giá: 0 (bình thường)

Đã gửi 25 October 2009 - 06:53 PM

Đúng là bị con này ức chế thật. Thêm vào đó máy của tôi còn dính cả cái bệnh không vào được các trang kaspersky, sysmantec mặc dù đã kiểm tra trong file hosts .Thằng Kis7 đang dùng không cho update nữa chứ. Tôi cũng là đủ mọi cách như trong diễn đàn nhưng không được. Cuối cùng hôm qua down thằng Avira AntiVir Pesonal về thì lại trị được cái bệnh này. Tuy nhiên nó thịt mất mấy files của mình mà không cứu lại được vì nó không add vào quarantine. Cái bệnh không vào được các trang kaspersky, sysmantec vẫn thế.

Rút kinh nghiệm của tôi các bác kiểm tra và xóa các files theo đường dẫn này nhé (tôi trích xuất từ report của Avira AntiVir Pesonal), ngoài ra chú ý xóa tất cả các files acad.fas và acad.lsp đi nhé:

C:\Documents and Settings\HOANG SAM\Application Data\Autodesk\AutoCAD 2007\R17.0\enu\Support\acad.fas
[DETECTION] Is the TR/Acad.Qfas.A Trojan
C:\Documents and Settings\HOANG SAM\Application Data\Autodesk\AutoCAD 2007\R17.0\enu\Support\acadapp.lsp
[DETECTION] Contains recognition pattern of the ACAD/Bursted.B VBA virus
C:\Documents and Settings\HOANG SAM\Application Data\Autodesk\AutoCAD 2007\R17.0\enu\Support\lcm.fas
[DETECTION] Is the TR/Acad.Qfas.A Trojan
C:\Program Files\AutoCAD 2007\Drv\acad.fas
[DETECTION] Is the TR/Acad.Qfas.A Trojan
C:\Program Files\AutoCAD 2007\Express\acad.fas
[DETECTION] Is the TR/Acad.Qfas.A Trojan
C:\Program Files\AutoCAD 2007\Fonts\acad.fas
[DETECTION] Is the TR/Acad.Qfas.A Trojan
C:\Program Files\AutoCAD 2007\Help\acad.fas
[DETECTION] Is the TR/Acad.Qfas.A Trojan
C:\Program Files\AutoCAD 2007\Support\acad.fas
[DETECTION] Is the TR/Acad.Qfas.A Trojan
C:\Program Files\AutoCAD 2007\Support\Color\acad.fas
[DETECTION] Is the TR/Acad.Qfas.A Trojan
C:\WINDOWS\system32\IEDFix.exe
[DETECTION] Is the TR/Spy.285184.1 Trojan
C:\WINDOWS\system32\kpzjnzc.dll
[WARNING] The file could not be opened!

Hy vọng thành công!
PS: Ai biết cái bệnh không vào được trang web của kaspersky và sysmantec giúp tôi với (tôi đã kiểm tra file hosts, search trong registry, reset firewall và search trên google mãi rùi mà vẫn pó tay. Hix)
  • 0

#8 killerman911

killerman911

    Chưa sử dụng CAD

  • Members
  • Pip
  • 2 Bài viết
Điểm đánh giá: 0 (bình thường)

Đã gửi 31 December 2009 - 10:06 AM

cách diệt virut .fas
- vào computer : dùng công cụ tìm tất cả các file acad.fas trên máy tinh
- Xóa tất cả các file nói trên
- vào đường dẫn
C:\Users\HoanGiang\AppData\Roaming\Autodesk\AutoCAD 2008\R17.1\enu\Support (tôi đang dùng cad 2008)
- Tìm file Icm.fas xóa đi bảo đảm vào acad sẽ không còn hiện hộp thoại có các font chữ lỗi
  • 1

#9 MANHHUNGXDA

MANHHUNGXDA

    biết lệnh adcenter

  • CADViet Team
  • PipPipPipPipPipPipPip
  • 926 Bài viết
Điểm đánh giá: 458 (tốt)

Đã gửi 27 May 2010 - 12:21 PM

Đông tây y, thầy cúng kết hợp, phối hợp các cách, mà vẫnkhông được
Chắc nó mãn tính rồi! Ức sờ chế quá các bác!
  • 0
Hãy ước cho trọn 1 ước mơ!

#10 phamthanhbinh

phamthanhbinh

    biết lệnh adcenter

  • Moderator
  • PipPipPipPipPipPipPip
  • 6009 Bài viết
Điểm đánh giá: 3113 (tuyệt vời)

Đã gửi 27 May 2010 - 01:26 PM

Đông tây y, thầy cúng kết hợp, phối hợp các cách, mà vẫnkhông được
Chắc nó mãn tính rồi! Ức sờ chế quá các bác!

Hề hề hề,
Bác cứ chơi kiểu củ chuối là Ghost một phát bác ạ. Ma quỷ mà nó còn chả sợ thì mua con laptop mới là xong. Hề hề hề.....
  • 1
Chúc các quý Anh trên diễn đàn luôn khỏe, đẻ thêm được nhiều thứ để mót.

#11 quan_gt

quan_gt

    biết vẽ circle

  • Members
  • PipPip
  • 32 Bài viết
Điểm đánh giá: 14 (tàm tạm)

Đã gửi 28 October 2010 - 09:01 AM

Máy nhà em dùng Autocad 2011 cũng ăn đòn con này. Hi vọng sau khi đi làm về rồi làm theo cách các bác chỉ bảo sẽ có thể giết nó. Ghost win xong lại nhiễm, nhanh thôi. Vậy nên phải sửa.
  • 0

#12 duysavuong

duysavuong

    Chưa sử dụng CAD

  • Members
  • Pip
  • 2 Bài viết
Điểm đánh giá: 0 (bình thường)

Đã gửi 23 November 2011 - 09:41 AM

gỡ bỏ cad, tìm và xóa file acad.fas, cài lại thế là trở lại bình thường! cảm ơn mọi người!!!!

:wub:
  • 0

#13 duysavuong

duysavuong

    Chưa sử dụng CAD

  • Members
  • Pip
  • 2 Bài viết
Điểm đánh giá: 0 (bình thường)

Đã gửi 23 November 2011 - 09:46 AM

gỡ bỏ cad, tìm và xóa file acad.fas, cài lại thế là trở lại bình thường! cảm ơn mọi người!!!!

:wub:

mình bị lỗi: mất crosshair, thay bằng một hình vuông to tướng xanh lá, ko thể kéo chọn đối tượng, click vào thi cứ hiện ra những chấm trắng. pan zoom rất chậm
  • 0

#14 T2N

T2N

    biết pan

  • Members
  • Pip
  • 6 Bài viết
Điểm đánh giá: 0 (bình thường)

Đã gửi 19 December 2011 - 10:00 AM

mình bị lỗi: mất crosshair, thay bằng một hình vuông to tướng xanh lá, ko thể kéo chọn đối tượng, click vào thi cứ hiện ra những chấm trắng. pan zoom rất chậm

Tui cũng bị như thế này! ai có thể giúp được không!
Cảm ơn nhiều!
  • 0

#15 itvn_2008

itvn_2008

    Chưa sử dụng CAD

  • Members
  • Pip
  • 1 Bài viết
Điểm đánh giá: 0 (bình thường)

Đã gửi 19 December 2011 - 12:03 PM

Thằng đệ nó in nhờ mấy bản CAD trên máy. Em cứ để nó tự chép vào ko để ý.
Bây giờ mở CAD ra là nó có một Message báo lỗi, toàn những chữ linh tinh ko đọc được.
Em tìm trong thư mục chứa file vừa mở thì có thằng này đây. (password: www.cadviet.com)
http://www.cadviet.c...es/acad.fas.zip
Em nhờ các bác, bác nào biết thì xử lý giùm bỏ nó đi nhé. Xin cám ơn.

Cám ơn các bác, đặc biệt là bác Hoành đã quan tâm giúp đỡ. Thứ hai em sẽ làm theo hướng dẫn xem có được ko vì máy đó trên văn phòng. Máy nhà và L top thì ko bị sao cả.
À quên; to bác q288: Tất cả các máy đều xài CAD 2007.

Đông tây y, thầy cúng kết hợp, phối hợp các cách, mà vẫnkhông được
Chắc nó mãn tính rồi! Ức sờ chế quá các bác!

Máy nhà em dùng Autocad 2011 cũng ăn đòn con này. Hi vọng sau khi đi làm về rồi làm theo cách các bác chỉ bảo sẽ có thể giết nó. Ghost win xong lại nhiễm, nhanh thôi. Vậy nên phải sửa.

gỡ bỏ cad, tìm và xóa file acad.fas, cài lại thế là trở lại bình thường! cảm ơn mọi người!!!!

:wub:

mình bị lỗi: mất crosshair, thay bằng một hình vuông to tướng xanh lá, ko thể kéo chọn đối tượng, click vào thi cứ hiện ra những chấm trắng. pan zoom rất chậm

Tui cũng bị như thế này! ai có thể giúp được không!
Cảm ơn nhiều!


Chào tất cả các bạn,

Mình tên là Hoàng. Mình là Tav4 bên Bkav Forum. Mình là kỹ thuật viên máy tính và chuyên gia diệt virus, cứu dữ liệu chuyên nghiệp. Mình vừa viết Tool AutoCad BF Master V4.2 để diệt loại virus AutoCad, Phiên bản nhẹ và diệt rất hiệu quả.

Có bạn bên Bkav Forum đã test và diệt thành công rùi. Các bạn thử dùng và đóng góp cho mình nhé. Mình đang rất cần các bạn gửi mẫu loại virus này, để mình update cơ sở dữ liệu giúp tool diệt hiệu quả hơn. Thanks.

[New] Diệt virus AutoCad Masseger hiệu quả với 1 Click BFM V4.2

Trưởng nhóm BF Master
Tav4 Bkav Forum
  • 0

#16 ketxu

ketxu

    Copier - Paster - Editor

  • Moderator
  • PipPipPipPipPipPipPip
  • 5685 Bài viết
Điểm đánh giá: 2606 (tuyệt vời)

Đã gửi 19 December 2011 - 01:31 PM

Chào bạn Hoàng, mình vừa xem qua ABM của bạn.
Cảm ơn bạn vì 1 chương trình công phu, và mình có vài ý kiến như sau :
- Tool của bạn sử dụng các lệnh trong Dos (nằm trong file Bat) để thực hiện quá trình quét. Lợi thế diệt virus k cần Win, CAD là 1 ưu điểm, tuy nhiên nó cũng mang theo toàn bộ nhược điểm của DOS (có thể là vấn đề đơn nhiệm, quy tắc 8.3 file name, vấn đề tương thích với Unicode...)
- Chương trình của bạn chính xác là Kill worm, chứ k Dis-Infected :)
(Chỉ del file, del reg....). Các file bị nhiễm bị xóa đi có thể còn bao gồm các nội dung quan trọng trong nó (acad.lsp hoặc acaddoc.lsp...))
- Cơ chế del file *fas khá thô bạo (các file fas có thể có của người dùng - hoặc do virus tạo ra)

DEL "C:/*.fas*" >NUL 2>NUL
DEL "C:/*acadacad.lsp*" >NUL 2>NUL
DEL "D:/*.fas*" >NUL 2>NUL
DEL "D:/*acadacad.lsp*" >NUL 2>NUL

- Cơ chế xác định cad đã lây hay chưa dựa vào số file có mặt cũng chưa chính xác, vì sau khi CAD load vào Memory, bạn có thể tùy ý xóa file nguồn, nhưng thực chất là CAD đã "dính", và nếu virus thực hiện việc ghi code file trong event Close Drawing thì coi như phá sản => phải khuyến cáo chạy khi k bật CAD
- Virus có thể gây ra các thay đổi cho CAD, Bat file không thể can thiệp (sysvars, command...)
=> Chương trình phù hợp hơn với việc quét sau khi cài lại máy

- Vòng lặp

FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: ) DO IF EXIST %%a\

là chưa đủ ^^
- Kiểm tra ở thư mục tương đương Ver R17.0 là chưa đủ ^^

Mình cũng đã thử viết 1 chương trình bằng NET các công việc tìm file, xóa file, xóa reg tương tự như của bạn (tất nhiên việc tìm kiếm file sử dụng Đệ Quy nên nhanh hơn), nhưng cuối cùng cũng phát hiện ra rằng để Dis-Infected virus CAD và khắc phục hậu quả thì các ngôn ngữ trực tiếp trong CAD lại hiệu quả hơn cả

P/s : ngoài ra với WinXP3 mình thử nghiệm thì báo lỗi đủ số lần For No Disk rồi hiển thị kết quả Không tìm thấy virus ^^
  • 2

Thành viên nhóm CadMagic.
Mời bạn ghé thăm facebook nhóm - Page viết lisp theo yêu cầu  :
CAD MAGIC


#17 chendangxd

chendangxd

    Chưa sử dụng CAD

  • Members
  • Pip
  • 2 Bài viết
Điểm đánh giá: 0 (bình thường)

Đã gửi 27 March 2012 - 10:12 AM

cách diệt virut .fas
- vào computer : dùng công cụ tìm tất cả các file acad.fas trên máy tinh
- Xóa tất cả các file nói trên
- vào đường dẫn
C:\Users\HoanGiang\AppData\Roaming\Autodesk\AutoCAD 2008\R17.1\enu\Support (tôi đang dùng cad 2008)
- Tìm file Icm.fas xóa đi bảo đảm vào acad sẽ không còn hiện hộp thoại có các font chữ lỗi

Thanks bác! Em nó đã vĩnh viễn ra đi
  • 0

#18 suwuynh

suwuynh

    Chưa sử dụng CAD

  • Members
  • Pip
  • 4 Bài viết
Điểm đánh giá: 0 (bình thường)

Đã gửi 31 March 2012 - 09:05 AM

cac bác cứu em
file cad em bi con tro o vuong 2 gach chéo em làm đủ mọi cách mà ko dc ,nhung mơ máy khác thi ko sao mong bác giúp cho
nhanh jup em
ko chon dc đối tượng
  • 0

#19 suwuynh

suwuynh

    Chưa sử dụng CAD

  • Members
  • Pip
  • 4 Bài viết
Điểm đánh giá: 0 (bình thường)

Đã gửi 31 March 2012 - 09:06 AM

cac bác cứu em
file cad em bi con tro o vuong 2 gach chéo em làm đủ mọi cách mà ko dc ,nhung mơ máy khác thi ko sao mong bác giúp cho
nhanh jup em
ko chon dc đối tượng
  • 0

#20 suwuynh

suwuynh

    Chưa sử dụng CAD

  • Members
  • Pip
  • 4 Bài viết
Điểm đánh giá: 0 (bình thường)

Đã gửi 31 March 2012 - 09:09 AM

giup em
  • 0