热门帖 警惕新Maya病毒!

复制帖子链接

发贴时间:2024-04-30 19:14 

来自版块:茶馆

·

[行业新闻]

人气1132 评论2 点赞20
点赞 20
收藏 17
打赏 3 评论2 举报 查看文件
2024.05.01后,用户保存maya文件时,代码会关闭maya软件。
2024.06.01后,用户保存maya文件时,代码会删除当前的maya文件。

最新病毒查杀工具已上线下载:https://www.wmiao.com/t-61193-1-1.html

1.查看环境下的userSetup.mel文件
这个文件一般是在用户下:  文档\maya\scripts  目录里。
看看里面是否有 import base64 关键字,或者类似图里面的代码。

20240429195308.png

2.检查下面目录里是否有sys.bat文件
目录位置在:
  1. %userprofile%/appdata/roaming/syssst
点击复制这段代码

可以通过 cmd+r 然后输入上面的路径回车打开,发现有 sys.bat uition.t 也删掉

20240429200731.png

3.去Maya软件目录里搜 mayahik

20240429210513.png

打开看看,文件末尾是否有下面特征的代码
PYTHON

1
python(“import base64...

有的话删掉,或者找干净的电脑把这个文件拷过来。

4.扫maya文件

可以使用 FileLocator 软件扫所有的ma文件,病毒会把代码写在 uifiguration 节点里。
在maya文件里搜关键字 : IyAtKi0GY29kaW5n (下图run2里面的字节码,随便找一段搜)
或者搜uifiguration

20240429200353.png

打开软件照下面操作


20240429202448.png

如果有搜到文件的话,打开它们的时候不勾选 Execute script nodes

20240429200639.png

先删掉 uifiguration 。操作方法:
先在Display取消勾选

20240429204447.png

uifiguration,如果有,然后删除它

20240429205803.png

或者在这里选择这个节点,然后删除

20240429235357.png

接下还需要在scriptjob里,删除这两个
["leukocyte","execute"]

这里贴一个大佬给的代码,用于清除上面说的三样东西。
  1. import maya.cmds as cmds
  2. virus_gene = [
  3.     "leukocyte",
  4.     "execute",
  5. ]

  7. def get_virus_ScriptJobs():
  8.     """Traverse the list of virus script job name.
  9.     Returns:
  10.         list: Malicious virus script job name.
  11.     """
  12.     return [
  13.         scriptjob
  14.         for scriptjob in cmds.scriptJob(listJobs=True)
  15.         for virus in virus_gene
  16.         if virus in scriptjob
  17.     ]

  19. def cleanup_virus_ScriptJobs():
  20.     for script_job in get_virus_ScriptJobs():
  21.         script_num = int(script_job.split(":", 1)[0])
  22.         cmds.scriptJob(kill=script_num, force=True)

  24. print(get_virus_ScriptJobs())
  25. cleanup_virus_ScriptJobs()

  27. # delete uifiguration
  28. if cmds.objExists('uifiguration'):
  29.     cmds.delete('uifiguration')
点击复制这段代码
清除完了,然后再保存Maya文件。
上面的排查完应该就好了,有新的外包文件进来,也扫一遍比较好。
平时增加措施防范代码去修改 userSetup 这个文件,基本上就能防住类似病毒。

最后:
代码里还有一个特征是: 如果发现存在以下路径,则不执行病毒不发作。

  1. P:/Ko.
  2. P:/_data_/stop.T
点击复制这段代码

可能是个人用来规避自己公司不中招的手段,如果有公司有这样的路径请帮忙提供一些线索,
尽最大力度找到写病毒的人。

这个也可以作为一个临时解决方案,创建上述的两个路径,然后开发编辑权限,则病毒就不会执行删除操作。
真的这样的病毒太恶心了,无故浪费别人的时间,以后说不准会升级成什么样的版本,做出什么样的事情。这次希望集大家之力,找到病毒的始作俑者!

最后借用下徐大的话:

故意制作计算机病毒、以及故意散播病毒都是涉嫌破坏计算机系统罪的。因为面向dcc软件的病毒影响面往往非常大,统计出来的财产损失一般也是都是巨额的,因此量刑也都很重,入狱甚至蹲个大几年不成问题。因此奉劝大家不要以身试法。
转自:https://lingyunfx.com/maya-sb-code/

征集病毒样本,如有人中毒麻烦请把病毒文件打包Zip发送到 Xr@XrTools.pro 邮箱,感谢!!



蝉鸣夏季时光机打赏了 10 微豆 并说:加油加油~
动画研究生打赏了 3 微豆
草终成木打赏了 10 微豆 并说:谢谢分享,你简直就是活雷锋!

为您推荐相似内容

复制以下链接分享到 QQ群 QQ空间 贴吧 或其他CG网站上,每进来一个人你将获得: 2微豆
点赞 20
收藏 17
打赏 3
转发 2
举报
分享赚微豆
上传图片或文件
B Color Smilies

全部评论2

倒序浏览
  • 174
    • 帖子
  • 111
    • 视频
  • 701
    • 粉丝
  • 13842
    • 微豆

楼主热帖

更多帖子


客服
快速回复 返回顶部 返回列表