У цій статті ми сьогодні розглянемо, як видалити найпоширеніші ALC та CRP віруси, які з'явилися буквально вже на кожному 3D стоку моделей, без використання будь-яких скриптів або плагінів, як запобігти повторному зараженню і як не стати жертвою шахраїв фейкових антивірусних програм.

Loading...

Перші згадки про дивні об'єкти, що не видаляються, які потрапляють у сцену з'явилися наприкінці 2016 року. Тоді ніхто не розумів дивну появу Helpers у сцені з назвою "¡¡×ý × û" та "×þ×ü" і передбачалося, що це об'єкти невдалого імпорту з Auto CAD або подібних програм.

Наскільки відомо свій шлях ALC та CRP почали з китайських 3D стоків. Але ніхто не очікував, що завантажуючи безкоштовну модель, ви отримуєте такий ось "подарунок".

Більш масовий характер поширення ALC і CRP віруси набрали до кінця 2017 року, оскільки тоді ще не було захисту, вони без проблем потрапили на 3D стоки моделей. Власне це і стало ключовим фактором поширення та глобальної проблемою. Нижче я напишу докладно про ALC вірус, оскільки CRP дуже схожий на нього.

Я пам'ятаю, як працював в одній великій компанії "V***O" (на жаль я не можу написати її назву), на той момент, я вже не погано володів Maxscript і зробив для них не один десяток скриптів. До мене звернулося кілька співробітників, з проханням подивитися, чому не зникають об'єкти, навіть після створення нової сцени.

Спробувавши різні варіанти видалення за допомогою Maxscript, мені випадково вдалося викликати помилку скрипт-контролера, в який записався шкідливий код. Я побачив у Listener (консоль Maxscript) великий об'єм обфусцованого тексту, після ретельного аналізу та зворотної інженерії, мені вдалося зрозуміти як працює цей код.

На мій подив, шкідливий скрипт намагався сам себе записати в папку автозавантаження скриптів, реєстрував callbacks і запускався при Merge, Open, X-Ref та інших операціях зі сценою. Це означало, що навіть якщо видалити файли з автозавантаження, при будь-якій дії зі сценою, код міг знову себе знову записати у файли, а Helpers, які не видаляються сприяли ініціалізації цього процесу. Поведінка мені нагадала типового вірусу-хробака ", тому я дав назву worm.3dsmax.alc.clb.

У коді було закладено логіку захисту для комерційних моделей чи сцен. Якщо не проходила перевірка на справжність, то ALC міг змінювати налаштування сцени, матеріали, видаляти джерела світла і т.д. А в останніх модифікаціях ALC3 можуть взагалі відправлятися на C&C сервери ваші рендери, і особиста інформація!

Хоча ALC був задуманий як форма захисту комерційних проектів сцен і моделей, через некоректну роботу самого коду, могли бути збої в роботі 3Ds Max, не працювати функція скасування (CTRL+Z), і виникати різного роду помилки.
У коді ALC, немає конкретних рядків, щоб ламати функцію скасування (CTRL+Z), викликати збій при запуску, або гальмувати роботу 3Ds Max, - це всі проблеми поганої адаптації коду.

Тим не менш, ми маємо скрипт, який сам поширюється між сценами, може викликати аварійне закриття 3Ds Max, ламати деякі функції як CTRL+Z, щось змінювати в сцені, погіршувати продуктивність та переривати робочий процес, тому його правильно називати – вірус!

Оскільки це звичайний скрипт, який виконується в середовищі 3Ds Max, жоден Антивірус не може виявити ці віруси. Їх можна видалити вручну або спеціальними скриптами на зразок Prune Scene.

Не важливо, з якою метою чи намірами він створювався, за фактом ми маємо лише одні неприємності і намагатися ігнорувати цю проблему не можна. Я рекомендую поділитись цією статтею, щоб кожен знав про те, як захистити свою роботу!

Отже, як вище було написано, вірус ALC потрапляє в сцену під виглядом Helpers, в яких записаний в Scale скрипт-контролер. 3Ds Max влаштований таким чином, що при відкритті сцени виконуються всі скрипт-контролери. Таким чином відбувається виконання шкідливого коду.

Далі, скрипт записує свій код у приховані файли до папки автозавантаження скриптів:

Також створюються так звані callbacks, і в них також записується код із скрипт-контролера і виконується при Open, Merge, X-Ref.

Тепер уявімо, як це все працює в сукупності: При запуску 3Ds Max виконуються скрипти з папки автозавантаження, які створюють Helpers і записуються в callbacks. Дані допоміжні об'єкти видалити неможливо і легко мігрують між сценами.
При кожному Open, Merge, X-Ref, також створюються Helpers і відбувається запис в автозавантаження, після чого сцена автоматично зберігається. При відкритті сцени з Helpers виконуються ті самі дії: запис в автозавантаження, створення callbacks, автоматичне збереження.

Таким чином, якщо ви навіть видалите файли з автозавантаження, і якимсь чином видаліть Helpers, все одно виконається callback, який запустити весь процес заново!

Для CRP вірусу схема така сама, за винятком того, що він записується не в скрипт-контролер, а в Persistent глобальну змінну, яка зберігається разом зі сценою і виконується при запуску сцени. І робить ін'єкції шкідливого коду у скрипти автозавантаження.

Видалення прихованих файлів із папки автозавантаження допоможе уникнути запуску шкідливого коду при старті програми 3Ds Max. Видалення також допомагає, якщо після зараження у вас не запускається 3D Max або відбувається аварійне закриття програми!

Закрийте 3D Max. Перейдіть до наступних папок:

Примітка!
Червоним кольором позначені ім'я користувача та версія, які можуть у вас відрізнятися.

Далі необхідно відобразити приховані системні файли. Для цього перейдіть у вкладку View, натисніть Options.

Loading...

У вікні, перейдіть у вкладку View і відключіть Hide protected operating system files (Recommended).

Loading...

Наступні файли говорять про наявність вірусу:

Loading...

Видаліть всі приховані файли з цих папок!

Примітка!
Якщо ви не впевнені, що робите правильно і боїтеся зіпсувати робочий процес, скачайте та встановіть Prune Scene.
Prune Scene - допоможе виправити наслідки зараження та зробить всю необхідну роботу за вас!

Перевірте кожен скрипт цих папок на наявність ін'єкцій шкідливого коду. Відкрийте файл за допомогою текстового редактора Notepad, якщо у пошуку файлу не знаходить "CRP_AScript", значить файл чистий.
Якщо ви знайдете "CRP_AScript", необхідно видалити цю частину коду, від рядка, в який була знайдена фраза і до кінця файлу. Після цього зберегти файл.

Запустіть 3D Max, ви більше не повинні бачити приховані Helpers або відчувати інші наслідки вірусів.

Увага!
Варто враховувати, що таким чином, ви видалили віруси з вашого 3Ds Max! Але якщо ви відкриєте заражену сцену, процес розпочнеться заново. Видалити віруси із заражених сцен неможливо без спеціальних скриптів антивірусів на зразок Prune Scene!

Я думаю, багато читачів вже здогадалися, що необхідно заборонити доступ на запис до папок автозавантаження скриптів.
Для цього для папок:

Встановіть захист від запису за допомогою властивостей папки (Read Only).

Примітка!
Захист від запису допоможе уникнути проблем поширення вірусів. Але варто враховувати, що деякі скрипти тепер не можуть бути додані або модифіковані. Наприклад, якщо у вас встановлений MegaScans Bridge, ви найімовірніше отримуватимете помилку і не зможете його запустити.

Відкрийте за допомогою текстового редактора файл:

Знайдіть наступні параметри та встановіть значення для них "0".

Встановіть захист від запису для файлу 3dsMax.ini.

Примітка!
Встановивши захист від запису для 3dsMax.ini та змінивши описані параметри, у вас можуть надалі не зберігатися деякі налаштування 3Ds Max! А також у вас можуть не відпрацьовувати Custom Attributes і деякі контролери анімації. Варто розуміти, на що може вплинути блокування запису у файл налаштувань 3dsMax.ini!

Як було описано вище, віруси можуть записуватися в callbacks і виконувати шкідливий код при Open, Merge, X-Ref файлах. Це означає, що якщо ви запустите сцену з вірусом, всі наступні файли, які будуть відкриті будуть заражені, до тих пір, поки відкрита поточна сесія 3Ds Max.

Якщо ви не хочете зазнавати незручностей, пов'язаних з неможливістю зберегти налаштування або проблем зі скриптами в автозапуску таких, як MegaScans або зараження файлів у поточній сесії, я рекомендую використовувати спеціалізоване ПЗ для відстеження та видалення вірусів Prune Scene.

Останнім часом я спостерігаю, як все більше з'являється різного роду "антивірусів", які допомагають з очищенням скрипто-вірусів. Причому випускають не тільки скрипти, а сторонні програми (програми).
Довірливі користувачі, завантажують з невідомих ресурсів та незрозумілих брендів ПЗ, в якому швидше за все міститься троян або інший серйозніший комп'ютерний вірус.

Важливо!
Ніколи не качайте *.exe файли і не запускайте їх! Також це стосується установки різних плагінів *.dlo, *.dlc, *.dll і т.д. Не качайте нічого з китайських сайтів або неперевірених ресурсів! Є великий ризик, що несумлінні розробники могли додати туди шкідливий код !

На даний момент мені відомі лише кілька перевірених розробників це 3DGROUND Prune Scene (7 років на ринку), SiNI Software Forensic (6 років на ринку) і Autodesk Security Tools. Качати щось інше, я вкрай не рекомендую!

3DGROUND Prune Scene - простий, безкоштовний, легковажний скрипт із зручною установкою. Не потрібно перезапускати 3Ds Max після встановлення. На даний момент має найбільшу кількість вірусних сигнатур. Існує захист папки startup від повторного зараження. Добре оптимізовані сигнатури не викликають підгальмовування 3Ds Max. Має супер функцію – пошук вірусів за файловою системою, без відкриття самих файлів! Оновлення виходять досить часто, а якщо у вас є ліцензія, оновитися "по повітрю" можна натиснувши лише одну кнопку Update буквально за секунду.

Autodesk Security Tools - офіційний антивірус від Autodesk, оновлюється не так часто як хотілося б. Досить складна установка через Windows Installer. Має менше вірусних сигнатур порівняно з аналогами. Код написаний не оптимізовано і може викликати гальмування 3Ds Max.

SiNI Software Forensic - повноцінний плагін, який працює швидше скриптів, але при цьому має ряд недоліків. Досить складний в установці та розумінні. Необхідно перезавантажити 3Ds Max після встановлення або оновлення. Існує залежність від версій 3Ds Max. Оновлення виходять не так часто. Має складну систему ліцензій. Потрібне інтернет-з'єднання, навіть якщо ви використовуєте безкоштовну версію. Має таку ж кількість вірусних сигнатур як Autodesk Security Tools.

Використовуйте програмне забезпечення вказаного з цього списку і будьте пильні!