Внимание ALC и CRP вирусы в 3Ds Max!


Автор MastaMan
Обновлено Ноябрь 17, 2020
English и Русский

Оглавление

Внимание, в среде 3Ds Max распространяются новые виды вирусов, которые не могут быть обнаружены вашим Антивирусным ПО!

Если ваша сцена заражена или если, вы хотите избежать попадания вирусов в 3Ds Max, скачайте и установите условно-бесплатный скрипт Prune Scene и активируйте Активную Защиту (Active Protection)!


После запуска режима Активной Защиты, вирусы будут удалены. В дальнейшем, если вирусы попадут к вам в сцену, они всегда будут удаляться!

Скачать Prune Scene
Важно!
Вы можете бесплатно использовать Prune Scene для очистки от вирусов!

Вступление

В последнее время наблюдается высокая активность заражения сцен и моделей вирусами ALC BETACLEANER (worm.3dsmax.alc.clb) и CRP BSCRIPT (worm.3dsmax.crp.bscript) на 3D-стоках, онлайн-форумах и онлайн-сервисах.

Обычно вирусы попадают через зараженный файл сцены (* .max), когда вы делаете open, merge или x-ref в 3Ds Max.

При открытии или работе с файлом сцены в 3Ds Max (* .max) сцена может проявлять странное поведение. Подробнее о каждом вирусе читайте ниже.

ALC BETACLEANER

alc virus helpers
Loading...
Этот вирус представляет собой сторонний скрипт (Maxscript) (далее именуемый "ALC"), может случайно повредить настройки программного обеспечения 3Ds Max и распространиться на другие файлы max (* .max) в системе Windows, если файлы сцены содержат вредоносный скрипт (код), он может выполняться в среде 3Ds Max. (Исходный скрипт, похоже, был включен в некоторые бесплатные сцены 3Ds Max, которые пользователи могли загрузить из различных онлайн-источников.) 

Хотя скрипт, похоже, был написан как форма защиты от копирования, для коммерческого плагина, если он затронул другие сцены, при повторном их открытии, вирус может распространиться в другие копии 3Ds Max сцен. 

Данный Maxscript будет встраиваться в файл сцены, как скриптовый контроллер. 


Скрипт сохраняется в скрытые файлы:
C:/Users/Ваше имя/AppData/Local/Autodesk/3dsMax/Номер релиза - 64bit/Язык/scripts/startup
Файлы:
vrdematcleanbeta.ms
vrdematcleanbeta.mse
vrdematcleanbeta.msex​
Примечание! 
Для этих файлов, свойства системных атрибутов будут установлены как Скрытые, и они обычно не видны в проводнике файлов операционной системы Windows. Вам может потребоваться изменить View → Folder Options на View Hidden Files and Folders
Вирус создает следующие проблемы:

  • Вылетает 3Ds Max или не открывается сцена
  • Повреждает данные сцены
  • Создает пустые вспомогательные объекты (¡¡×ý × û и ×þ×ü)
  • Невозможно сохранить сцену вручную
  • Невозможно использовать функцию отмены (Ctrl+Z)
  • Отображаются различные ошибки Maxscript
  • Повреждает или удаляет камеры, источники света и/или материалы
  • Вызывает автоматическое сохранение после заражения сцены или при выборе "Don't Save" во время закрытия 3Ds Max
  • Делает инъекцию вредоносного кода в существующие скрипты в папке автозагрузки 3Ds Max
  • Принудительно закрывает 3Ds Max
  • Невозможно сохранить V-Ray источники света

CRP BSCRIPT & ADSL BSCRIPT

Этот вирус представляет собой сторонний скрипт (Maxscript) (далее именуемый "CRP"), может случайно повредить настройки программного обеспечения 3Ds Max и распространиться на другие файлы max (* .max) в системе Windows, если файлы сцены содержат вредоносный скрипт (код), он может выполняться в среде 3Ds Max. (Исходный скрипт, похоже, был включен в некоторые бесплатные сцены 3Ds Max, которые пользователи могли загрузить из различных онлайн-источников.)

Этот вирус распространяется так же, как и ALC BETACLEANER когда вы открываете сцену.
Вирус делает инъекции во все скрипты в папке автозагрузки 3Ds Max, добавляя в них вредоносный код.


Вирус создает следующие проблемы:

  • Невозможно использовать функцию отмены (Ctrl+Z), при переключении между Viewport
  • Может скрывать или удалять источники света
  • Может удалять материалы
  • Делает инъекцию вредоносного кода в существующие скрипты в папке автозагрузки 3Ds Max
  • Может удалять объекты в сцене

ALC2 ALPHA

То же, что и ALC BETACLEANER, но создает различные вредоносные файлы и глобальные переменные в среде 3Ds Max.
Вирус создает скрытые файлы в:
C:/Users/Ваше имя/AppData/Local/Autodesk/3dsMax/Номер релиза - 64bit/Язык/scripts/startup
 Файлы:
vrdematcleanalpha.ms
vrdematcleanalpha.mse
vrdematcleanalpha.msex
vrdestermatconvertor.ms
vrdestermatconverter.msex
vrdestermatconvertar.ms
vrayimportinfo.mse
В остальном поведение такое же, как и у  ALC BETACLEANER.

ALC3 ALPHA

То же, что ALC BETACLEANER, но с некоторыми отличиями.

Самое опасное, что этот вирус может скачивать обновления для себя и может само-модифицироваться!


 Вирус создает следующие проблемы:

  • Вылетает 3Ds Max или не открывается сцена
  • Пустые вспомогательные helper объекты
  • Невозможно использовать функцию отмены (Ctrl+Z)
  • Отображаются различные ошибки Maxscript
  • Изменяет настройки рендеринга (V-Ray): размер VFB, материалы, настройки GI и т. д.
  • Скрытое сохранение VFB и отправка на удаленную электронную почту
  • Собирает системную информацию и отправляет на удаленную электронную почту: ip, mac, информация о HDD, память, процессор, версия 3Ds Max и т. д.
  • Отправляет собранные данные с фейковой электронной почты sss777_2000@126.com (nfkxovtedspjgedv) на rrr888_3000@126.com
  • Скачивает обновления и само-модифицируется с http://www.maxscript.cc/update/upscript.mse
C:/Users/Ваше имя/AppData/Local/Autodesk/3dsMax/Номер релиза - 64bit/Язык/scripts/startup
Файлы:
vrdematpropalpha.ms
rdematpropalpha.mse
vrdematpropalpha.msex​

DESIRE FX CA

desire fx ca
Loading...
Вирус создает следующие проблемы:

  • Переименовывает все объекты в сцене и добавляет рекламный префикс
  • Создает объекты Text в сцене с рекламным текстом
  • Записывает рекламный текст в File Info
  • Может вызывать подтормаживание Viewport

AD WEB CA

mxs web window
Loading...
ad virus 2
Loading...
Вирус создает следующие проблемы:

  • Отображает Maxscript окно Web браузера с рекламой сайта
  • Создает объекты Text в сцене с рекламным текстом
  • Может вызывать подтормаживание Viewport
Чтобы заблокировать рекламные сайты навсегда на системном уровне, сделайте следующие действия:

  • Откройте файл hosts при помощи Notepad, по пути C:/WINDOWS/system32/drivers/etc/hosts
  • Добавьте в конец файла записки, указанные ниже*
  • Перезагрузите компьютер
* Добавьте это в конец файла C:/WINDOWS/system32/drivers/etc/hosts
127.0.0.1 www.3dsmj.com
127.0.0.1 3d.znzmo.com

PHYSXPLUGINMFX

PhysXPluginMfx (вариация ALC2, ALC, CRP and ADLS) - вирус для спланированной атаки на крупные предприятия. Разработан группой хакеров для промышленного шпионажа. Этот вирус распространяется со сторонними плагинами с фишинговых сайтов и может повредить настройки программного обеспечения 3Ds Max, запускать произвольный вредоносный код, заражать другие файлы 3Ds Max (* .max) и отправлять собранные личные данные на C&C сервера в Южной Корее.
Этот вирус использует уже известные дыры, как и ALC, ADSL или CRP.


Файлы:
PhysXPluginStl.ms
PhysXPluginStl.mse
 Вирус создает следующие проблемы:

  • Создает вредоносные файлы, такие как PhysXPluginStl.mse, в папке автозагрузки 3Ds Max
  • Кодирует файлы "*.mse" при помощи base64 кодировки .NET 4.5 ассемблера
  • Заражает другие "*.max" файлы
  • Отправляет личную информацию на удаленные сервера

ALIENBRAINS (MSCPROP.DLL)

mscprop dll
Loading...
Этот вирус представляет собой сторонний Maxscript (далее именуемый "Alienbrains"), может повредить установочные файлы 3Ds Max и файлы сцен. Может попасть в среду 3Ds Max со сторонних онлайн-ресурсов со стандартными моделями.

Вирус Alienbrains замедляет сцену: открытие, сохранение, автосохранение и рестарт.
Также может вызывать разного рода модальные ошибки "Runtime error: FileStream cannot create..." при открытии сцены.
Если UAC в системе Windows отключен, этот вирус может создавать вредоносный файл: mscprop.dll в корневой папке 3Ds Max!


 Вирус создает следующие проблемы:

  • Создает mscprop.dll в корне 3Ds Max
  • Очень долгое открытие/сохранение/автосохранение/перезапуск сцены
  • Создает нежелательные настраиваемые атрибуты для объектов
  • Создает нежелательные свойства в rootcene и callback функции
  • Отображаются различные ошибки Maxscript (см. скриншот ниже)
  • Невозможно использовать функцию отмены (Ctrl+Z)
  • Создает файл Local_temp.ms в "C: /Users/Ваше имя/AppData/Local/Temp/"
Пример Maxscript ошибки:
maxscript exception localtemp ms
Loading...
Файлы:
C:/Users/Ваше имя/AppData/Local/Temp/Local_temp.ms
C:/Users/Ваше имя/AppData/Local/Temp/Local_temp.mse
C:/Program Files/Autodesk/Номер релиза/mscprop.dll
C:/Program Files/Autodesk/Release Number/stdplugs/PropertyParametersLocal.mse

KRYPTIK CA

kryptik virustotal detected
Loading...
Этот вирус представляет собой сторонний Maxscript (далее именуемый "Kryptik CA"), может повредить установочные файлы 3Ds Max и файлы сцен. Может попасть в среду 3Ds Max со сторонних онлайн-ресурсов со стандартными моделями.

На данный момент известно, что вирус может влиять на скорость открытия сцен.

Вирус создает следующие проблемы:

  • Очень долгое открытие/сохранение/автосохранение/перезапуск сцены
  • Создает нежелательные настраиваемые атрибуты для объектов
  • Создает нежелательные свойства в TrackViewNodes.AnimLayerControlManager и callback функции
  • Выполняет неизвестный код из закодированной строки base64 кодировки .NET 4.5 ассемблера (выполнение кода из обфусцированного *.dll файла)
Файл *.dll с вирусом на сайте VirusTotal распознается как Kryptik.XLW, и несет в себе угрозу. На данный момент ведутся работы по дизассемблированию, для установления точной угрозы!

Большое спасибо специалистам из компании ESET, особенно Mathieu Tartare, в декомпиляции обфусцированного .NET кода и поиске угроз.

Удалось выяснить, что данный вирус, это часть от PhysXPluginMfx, которая редко встречалась на просторах интернета и поэтому ни Autodesk Security Tools, ни Prune Scene не могли ранее ее обнаружить. К счастью в Prune Scene добавлена сигнатура, которая удаляет остатки этого вредоносного кода.

Вирус мог выполнить произвольный код обращаясь C&C сервер по IP: 175.197.40[.]61. На данный момент, C&C сервер не работает и не несет потенциальной угрозы.

Для большей уверенности, вы можете заблокировать данный IP на уровне системы.

* Добавьте это в конец файла C:/WINDOWS/system32/drivers/etc/hosts
127.0.0.1 175.197.40.61

Как обнаружить вирусы?

Для ALC betaclenaer

Откройте MaxScript Listener, скопируйте и вставьте следующую строку и нажмите Enter:
(globalVars.isGlobal #AutodeskLicSerStuckCleanBeta)
Результат выполнения строки должен возвращаться: false. Если результат выполнения: true - вы заражены!

Для ADSL bscript

Откройте MaxScript Listener, скопируйте и вставьте следующую строку и нажмите Enter:
(globalVars.isGlobal #ADSL_BScript)
Результат выполнения строки должен возвращаться: false. Если результат выполнения: true - вы заражены!

Для CRP bscript

Откройте MaxScript Listener, скопируйте и вставьте следующую строку и нажмите Enter:
(globalVars.isGlobal #CRP_BScript)
Результат выполнения строки должен возвращаться: false. Если результат выполнения: true - вы заражены!

Для ALC2 alpha

Откройте MaxScript Listener, скопируйте и вставьте следующую строку и нажмите Enter:
(globalVars.isGlobal #AutodeskLicSerStuckCleanAlpha)
Результат выполнения строки должен возвращаться: false. Если результат выполнения: true - вы заражены!

For PhysXPluginMfx

Откройте MaxScript Listener, скопируйте и вставьте следующую строку и нажмите Enter:
(globalVars.isGlobal #physXCrtRbkInfoCleanBeta)
Результат выполнения строки должен возвращаться: false. Если результат выполнения: true - вы заражены!

Для ALC3 alpha

Откройте MaxScript Listener, скопируйте и вставьте следующую строку и нажмите Enter:
(globalVars.isGlobal #AutodeskLicSerStuckAlpha)
Результат выполнения строки должен возвращаться: false. Если результат выполнения: true - вы заражены!

Для AD Web CA

mxs web window
Loading...
ad virus 2
Loading...
Вы увидите Maxscript окно браузера с рекламой сайта: 3dsmj[dot]com, 3d[dot]znzmo[dot]com

Для Desire FX CA

В сцене будут переименованы все объекты с префиксом"desirefx":
desire fx ca
Loading...

Для Alienbrains

Откройте Maxscript Listener, скопируйте и вставьте следующую строку и нажмите Enter:
(try(TrackViewNodes.TVProperty.PropParameterLocal.count >= 0) catch(false))
Результат выполнения строки должен возвращаться: false. Если результат выполнения: true - вы заражены!

Для Kryptik CA

Откройте Maxscript Listener, скопируйте и вставьте следующую строку и нажмите Enter:
((try(TrackViewNodes.AnimLayerControlManager.AnimTracks.ParamName) catch(undefined)) != undefined)
Результат выполнения строки должен возвращаться: false. Если результат выполнения: true - вы заражены!
Информация!
Есть и другие модификации вирусов, которые может обработать и устранить только Prune Scene.

Как удалить вирусы?

prune scene active protection
Loading...
Если ваша сцена заражена или вы хотите избежать попадания вирусов в 3Ds Max, скачайте и установите условно-бесплатный скрипт Prune Scene и активируйте Активную Защиту!

После запуска режима Активной Защиты, вирусы будут удалены.
В дальнейшем, если вирусы попадут к вам в сцену, они всегда будут удаляться!
Важно!
Вы можете бесплатно использовать Prune Scene для очистки от вирусов!
Вы также можете использовать другие скрипты для решения проблем с вирусами:
ALC_fixup_v1_2.ms и CRP_fixup_v1_2.ms

Но я не рекомендую использовать их, поскольку вам придется время от времени запускать их вручную, и вы можете пропустить момент, когда вирус попадет в другую сцену, что очень критично для больших компаний, где несколько человек могут работать с одним файлом.

Также есть и другие модификации вирусов, с которыми эти скрипты не справяться!

Официальная информация

Здесь официальное утверждение Autodesk:

https://knowledge.autodesk.com/support/3ds-max/troubleshooting/caas/sfdcarticles/sfdcarticles/Potential-issues-with-third-party-MAXScript-CRP-switching-to-different-viewport-scene-lights-disappear-or-seem-deleted.html

и

https://knowledge.autodesk.com/support/3ds-max/troubleshooting/caas/sfdcarticles/sfdcarticles/Scene-file-crashes-corrupts-scene-data-gives-Script-Controller-error-or-no-longer-uses-the-Undo-function.html?st=alc

Update 1

Из официального источника стало известно, что в 3Ds Max 2019 Update 2 по умолчанию будет включена защита против ALC/CRP.

Здесь официальное утверждение:

https://forums.autodesk.com/t5/3ds-max-forum/potential-issues-caused-by-third-party-Maxscript-files-alc-and/m-p/8281431#M164173

Про Security Tool в 3Ds Max 2019 Update 2:

http://help.autodesk.com/view/3DSMAX/2019/ENU/?guid=GUID-C8FEC566-7747-4C35-A7DE-6B8233C9ACB0

Также подтверждена информация о модификации CRP вируса под названием ADSL

Сторонний Maxscript, известный как "ADSL", может случайно повредить настройки программного обеспечения 3Ds Max.

Скрипт может быть распространен на другие файлы max (* .max) в системе, если файлы сцены, содержащие его, открыты в 3Ds Max. Поведение является почти идентичным варианту заражения CRP, но использует разные имена переменных.

Security Tools in 3Ds Max Update 2 могут обнаруживать и очищать этот вирус из сцен и папки startup.

http://help.autodesk.com/view/3DSMAX/2019/ENU/?guid=GUID-10254858-7E5A-4220-9960-C250CCE2BA56

Update 2

9 Июнь 2019
Autodesk выпустила Security Tools for Autodesk© 3Ds Max® 2019-2015 для устранения следующих угроз: ALC, CRP and ADSL.
autodesk security tools
Loading...
autodesk security tools success cleaned
Loading...
Теперь вы можете загрузить и установить этот инструмент бесплатно для версий 3Ds Max: 2015, 2016, 2017, 2018. Для 3Ds Max 2019 просто установите последнее обновление Update 2 с итеративным решением.

Если у вас есть проблемы с ALC/CRP/ADSL для более ранних версий 3Ds Max (2014 г. и ниже) используйте Prune Scene!

Для включения/выключения защиты необходимо добавить кнопку на главную панели инструментов: Customize → Customize User Interface → Category: Security Tools. Затем перетащите 3Ds Max Security Tools на главную панель инструментов.
autodesk security tools main script
Loading...
При запуске этого инструмента вы увидите следующее окно с одной опцией включить/выключить.
autodes security tools main window
Loading...

Upadte 3

15 Sep 2020
В этой статье обновлено и добавлено описание новых опасных типов угроз: ALC2, PhysXPluginMfx, Alienbrains (mscprop.dll), DesireFX CA.

Update 4

27 Jan 2021
В этой статье обновлено и добавлено описание нового вируса: AD Web CA

Update 5

4 Feb 2021
В этой статье расширено описание для нового типа AD Web CA: 3d[dot]znzmo[dot]com

Update 6

3 Mar 2021
В этой статье обновлено и добавлено описание нового вируса: Kryptik CA

Update 7

22 Apr 2021
Благодаря специалистам из ESET, удалось декодировать код Kryptik CA и обновлено описание к этому вирусу


{{commentsMsg}}
  

Никто не оставил комментариев
{{comment.lastname}} {{comment.name}} {{comment.date}}
{{comment.text}}


ПОДПИШИСЬ НА СВЕЖИЕ НОВОСТИ

{{subscribeMsg}}