查看原文
其他

新型Maya病毒出现!大家注意防范!(文章附排查和清除方案)

lingyunFX Renderbus瑞云渲染
2024-07-22
▌前情提要:4月29日,许多业内TD在TD技术交流群,交流最新的Maya病毒情况,张凌云大佬参与讨论,并把排查方法整理分享到公众号(lingyunFX)。这个病毒比之前出现的危害更大,且植入很深,如果中招的话:
  • 2024.05.01后,用户保存maya文件时,代码会关闭maya软件;
  • 2024.06.01后,用户保存maya文件时,代码会删除当前的maya文件。
根据大佬们的一些讨论,下面分享一下盘查这个病毒的方法和一些清除方案。
(如果公众号字小阅读困难,可以在最文末点击阅读原文,找到博客地址在pc端浏览)


01盘查Maya新型病毒方法

1.查看环境下的userSetup.mel文件

这个文件一般是在用户下 文档\maya\scripts 目录里。看看里面是否有 import base64 关键字,或者类似图里面的代码。


如果有的话,删掉它(备份自己插件的环境配置,公司有TD找TD看看,其实备份不备份也不重要,先杀毒)。

2.扫maya文件

可以使用 FileLocator 软件扫所有的ma文件,病毒会把代码写在 uifiguration 节点里。在maya文件里搜关键字 : IyAtKi0GY29kaW5n (下图run2里面的字节码,随便找一段搜) 或者搜uifiguration ``

打开软件照下面操作


如果有搜到文件的话,打开它们的时候不勾选 Execute script nodes


删掉 uifiguration 节点再保存。操作方法:先在Display取消勾选


uifiguration,如果有,然后删除它,再另存文件。


3.检查下面目录里是否有sys.bat文件

目录位置在
%userprofile%/appdata/roaming/syssst
可以通过 cmd+r 然后输入上面的路径回车打开,发现有sys.batuition.t也删掉


4.去Maya软件目录里搜 mayahik



打开看看,文件末尾是否有下面特征的代码
python(“import base64
有的话删掉,或者找干净的电脑把这个文件拷过来。
上面的排查完应该就好了,有新的外包文件进来,也扫一遍比较好。

据大佬补充,还有一点,打开文件后还需要在scriptjob里删除这两个 
virus_gene = [ "leukocyte", "execute", ]
然后再保存文件。 
公司有TD的话让TD帮忙排查,个人的话下载相应的清理工具,再进行处理会比较好。

5.最后

代码里还有一个特征是: 如果发现存在以下路径,则不执行病毒不发作。
P:/Ko.VpnP:/_data_/stop.T
可能是个人用来规避自己公司不中招的手段,如果有公司有这样的路径请帮忙提供一些线索, 尽最大力度找到写病毒的人。
真的这样的病毒太恶心了,无故浪费别人的时间,以后说不准会升级成什么样的版本,做出什么样的事情。这次希望集大家之力,找到病毒的始作俑者!
最后借用下徐大的话:
“ 故意制作计算机病毒、以及故意散播病毒都是涉嫌破坏计算机系统罪的。因为面向dcc软件的病毒影响面往往非常大,统计出来的财产损失一般也是都是巨额的,因此量刑也都很重,入狱甚至蹲个大几年不成问题。因此奉劝大家不要以身试法。”


02清除Maya新型病毒方案

(1)来自月鱼数字科技的刘晶晶大佬的方案,点击图片即可跳转文章!

(2)来自TD大佬胡安迪无私分享的杀毒方案,大佬公众号:CGRnDStudio。瑞云渲染公众号后台回复【Maya杀毒方案】即可获取杀毒文件。

各位大佬还在讨论更好的解决方案

小瑞会为大家持续跟进!

最后,祝大家劳动节假期快乐!

往期精彩

00后杀疯了!学生用blender和houdini做出商业级作品?大厂速来抢人!


太强了!建筑效果图大佬自学影视动画,连获国内外多个CG赛事奖项?!彼尔德自学经验和创作心得分享丨瑞云渲染CGTalks


Blender玩家究极进阶!山海经和中国赛博朋克原创CG动画太震撼了!


白天在半导体公司造芯片,晚上3dsMax、UE启动!跨行自学CG夺得全国渲染大赛冠军?丨瑞云渲染大赛系列专访


别忘了点赞+在看哦!
修改于
继续滑动看下一个
Renderbus瑞云渲染
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存