Русский 
Что такое Spy CA?
Spy CA - это новый класс вирусов, которые могут поставляться вместе со сторонними 3D моделями скачанных с онлайн-ресурсов или 3D Stocks.
Вирус представляет собой Maxscript код, который записывается в Custom Attributes объекта и выполняется при открытии сцены, Merge модели или манипуляциями с объектом.
Мною был сделан реверс-инжениринг в ходе которого я узнал, что скрипт влияет на следующее:
- Долгое открытие сцен
- Создание нежелательных файлов в системе по пути c:/Users/[User]/AppData/Local/
- Создание нежелательных атрибутов в объектах
- Отправка данных об уникальном идентификаторе PC на C&C сервер
- Отключение 3Ds Max Security Tools через перезапись настроек в 3dsmax.ini
Если вы пользуетесь Security Tools и видите сообщение, как на картинке выше, это означает что вы заражены.
В 3Ds Max 2024 и выше работа скрипта блокируется для выполнения, но код вируса остается в Custom Attributes объекта. Поэтому есть риск передать сцену или объект с данным вирусом другому пользователю, у которого нету защиты. В результате код может выполниться на незащищенном компьютере, поэтому я строго рекомендую использовать Prune Scene!
Prune SceneКак работает вирус?
Вирус создает файл mac.dat в системных файлах с информацией для отправки на C&C сервер. Обычно туда записывается уникальный идентификатор.
Происходит отправка личных данных: MAC адрес, уникальных идентификатор и другая информация на удаленный сервер по адресу https://api[.]yutu[.]cn/blackBox/checkData в Китай.
Вирус также пытается полностью отключить 3Ds Max Security Tools, перезаписав параметры в 3dsmax.ini !
На данный момент, это все действия вируса. Но при большом количестве объектов с подобными Custom Attributes наблюдается сильное замедление сцены при старте или манипуляциях с объектами.
Как обнаружить Spy CA?
Есть несколько способов как обнаружить данный вирус:
- При включенном Security Tools, вы увидите сообщение (скриншот в начале статьи)
- При установленном Prune Scene, вы будете уведомлены об удалении данного вируса
- Вы можете проверить вручную вашу сцену, как это сделать читайте ниже
Ручной способ обнаружить Spy CA. Откройте Maxscript Listener, скопируйте и вставьте следующую строку и нажмите Enter:
Результат выполнения строки должен возвращаться: false. Если результат выполнения: true - вы заражены!
Как удалить вирус полностью?
К сожалению 3Ds Max Security Tools только блокирует выполнение данного вируса и самый действенный способ, это использовать Prune Scene.
Prune Scene полностью удалит со сцены все Custom Attributes, которые используют вредоносный код. Самое главное он делает это в автоматическом режиме!
Этот вирус также можно очистить с легкостью и вручную, для этого необходимо все объекты в сцене сделать Convert To Mesh, затем Convert To Poly, для того чтобы удалить Custom Attributes.
Заключение
Spy CA представляет собой серьезную угрозу для пользователей 3Ds Max, способную внедрять вредоносный Maxscript код через Custom Attributes объектов. Несмотря на то, что новые версии 3Ds Max блокируют выполнение этого вируса, его присутствие в сценах сохраняется, представляя потенциальную опасность для других пользователей без соответствующей защиты.
Рекомендуется использовать инструменты, такие как Prune Scene, для полного удаления вредоносных атрибутов и предотвращения передачи вируса. Важно проявлять осторожность при работе с файлами, загруженными из сторонних источников, и регулярно проверять сцены на наличие подобных угроз.
Также был обновлен текст статьи, где я веду лог всех вирусов и угроз для 3Ds Max. Рекомендую к прочтению:
Внимание ALC и CRP вирусы в 3Ds Max!
{{comment.text}}