Українська 
Що таке Spy CA?
Spy CA - це новий клас вірусів, які можуть постачатися разом із сторонніми 3D моделями завантажених з онлайн-ресурсів або 3D Stocks.
Вірус є Maxscript код, який записується в Custom Attributes об'єкта і виконується при відкритті сцени, Merge моделі або маніпуляціями з об'єктом.
Мною був зроблений реверс-інженіринг, під час якого я дізнався, що скрипт впливає на наступне:
- Довге відкриття сцен
- Створення небажаних файлів у системі шляхом c:/Users/[User]/AppData/Local/
- Створення небажаних атрибутів в об'єктах
- Надсилання даних про унікальний ідентифікатор PC на C&C сервер
- Відключення 3Ds Max Security Tools через перезапис налаштувань у 3dsmax.ini
Якщо ви користуєтеся Security Tools і бачите повідомлення, як на зображенні вище, це означає, що ви заражені.
У 3Ds Max 2024 і вище робота скрипта блокується для виконання, але код вірусу залишається в Custom Attributes об'єкта. Тому є ризик передати сцену або об'єкт із цим вірусом іншому користувачеві, який не має захисту. В результаті код може виконатись на незахищеному комп'ютері, тому я суворо рекомендую використовувати Prune Scene!
Prune SceneЯк працює вірус?
Вірус створює файл mac.dat у системних файлах з інформацією для відправки на сервер C&C. Зазвичай, туди записується унікальний ідентифікатор.
Відправляється особистих даних: MAC адреса, унікальний ідентифікатор та інша інформація на віддалений сервер за адресою https://api[.]yutu[.]cn/blackBox/checkData в Китай.
Вірус також намагається повністю відключити 3Ds Max Security Tools, перезаписавши параметри в 3dsmax.ini!
На даний момент це все дії вірусу. Але при великій кількості об'єктів з подібними до Custom Attributes спостерігається сильне уповільнення сцени при старті або маніпуляціях з об'єктами.
Як виявити Spy CA?
Є кілька способів виявити даний вірус:
- При включеному Security Tools, ви побачите повідомлення (скриншот на початку статті)
- При встановленому Prune Scene, ви будете повідомлені про видалення цього вірусу
- Ви можете перевірити вручну вашу сцену, як це зробити читайте нижче
Ручний спосіб знайти Spy CA. Відкрийте Maxscript Listener, скопіюйте та вставте наступний рядок та натисніть Enter:
Результат виконання рядка повинен повертатись: false. Якщо результат виконання: true – ви заражені!
Як видалити вірус повністю?
На жаль, 3Ds Max Security Tools тільки блокує виконання даного вірусу і найдієвіший спосіб, це використовувати Prune Scene.
Prune Scene повністю вилучить зі сцени всі Custom Attributes, які використовують шкідливий код. Найголовніше він робить це автоматично!
Цей вірус також можна очистити з легкістю та вручну, для цього необхідно всі об'єкти в сцені зробити Convert To Mesh, потім Convert To Poly, щоб видалити Custom Attributes.
Висновок
Spy CA є серйозною загрозою для користувачів 3Ds Max, здатну впроваджувати шкідливий Maxscript код через Custom Attributes об'єктів. Незважаючи на те, що нові версії 3Ds Max блокують виконання цього вірусу, його присутність у сценах зберігається, представляючи потенційну небезпеку для інших користувачів без відповідного захисту.
Рекомендується використовувати інструменти, такі як Prune Scene, для повного видалення шкідливих атрибутів та запобігання передачі вірусу. Важливо виявляти обережність під час роботи з файлами, завантаженими зі сторонніх джерел, і регулярно перевіряти сцени на наявність подібних загроз.
Також було оновлено текст статті, де я веду лог всіх вірусів та погроз для 3Ds Max. Рекомендую до прочитання:
Увага ALC та CRP віруси в 3Ds Max!
{{comment.text}}