火绒安全软件

标题: 玛雅软件用户请注意 “普天同庆”病毒将于三日后发作 [打印本页]

作者: huoronganquan 时间: 2020-6-23 21:15
标题: 玛雅软件用户请注意 “普天同庆”病毒将于三日后发作
【快讯】近日，火绒安全团队发现一款名为“普天同庆”的感染型病毒，正在玛雅软件用户群中快速传播。该病毒可感染玛雅软件的脚本文件，导致通过玛雅制作的场景源文件也会携带该病毒，并传播给其它用户。分析样本时我们发现一条重要信息：该病毒将在6月27日（含）后统一发作，令用户打开玛雅源文件时，出现“卡死”现象，严重影响用户工作内容和进程。不仅如此，源文件 “卡死“后，还将占用大量的CPU，导致电脑运行变卡。
截至目前，该病毒还处在潜伏期，无任何明显攻击和破坏行为，用户也难以察觉其存在。对此，火绒紧急推出针对该病毒的“专杀工具”，建议玛雅软件用户，尽快下载火绒的“专杀工具”（下载地址）进行查杀，排除风险，避免损失。火绒专杀可帮助用户清除病毒的同时，还能修复被病毒感染的玛雅源文件。后续，火绒反病毒引擎也会跟进对该病毒的清除。

作为一款知名的三维建模和动画软件，玛雅有着广泛的用户群，我们也在此提醒大家，切勿轻易接收、运行陌生人发送的玛雅场景源文件，以免遭遇该感染型病毒。

附：【分析报告】
一、详细分析
近期，“普天同庆”感染型病毒在玛雅软件用户计算机中快速传播。现阶段，该病毒尚处于潜伏期，所以难于被用户察觉。但在2020年6月27日（包括27日）后，用户打开任意被感染的玛雅场景源文件时（.ma和.mb文件），都会出现“卡死”现象（陷入死循环）。
该病毒通过被感染的玛雅场景源文件进行传播，在被感染的源文件运行后，用户计算机中【玛雅软件安装目录】/resources/l10n/>/plug-ins/animImportExport.pres.mel （’>’代表任意同级目录名）和X:\Users\【用户名】\Documents\maya\scripts\userSetup.mel（X:代表任意盘符）脚本均会被病毒代码感染。由于在用户打开任意源文件时，玛雅都会尝试加载上述脚本，所以在用户打开任意玛雅场景源文件（.ma和.mb文件）时，被打开的玛雅场景源文件均会被病毒代码感染。在用户将玛雅源文件拷贝给其他用户时，则会进一步造成横向传播。
病毒感染玛雅脚本代码相关代码，如下图所示：

感染代码

感染userSetup.mel文件

感染animImportExport.pres.mel文件

感染玛雅场景源文件相关代码，如下图所示：

感染玛雅场景源文件

检测当前日期是否为2020年6月27日，如果到达触发时间则会使玛雅软件进程陷入死循环。相关代码，如下图所示：

检测日期并判断是否陷入死循环

二、附录
病毒hash

作者: 埃菲尔铁塔 时间: 2020-6-23 21:20
给力

作者: 柠檬水好好喝 时间: 2020-6-23 21:34
火绒群最帅的男人报道，火绒提前拦截开心。

作者: Dzrjks6606 时间: 2020-6-23 22:45
支持一波，绒绒加油～

作者: huolongguo10 时间: 2020-6-24 06:52
死循环！

作者: 天使之泪 时间: 2020-6-24 08:04
没看懂这病毒的意义何在，这病毒作者无法在病毒中获益啊，难道说像当年熊猫一样纯破坏？

作者: foxtu 时间: 2020-6-24 09:32
是时候@anyangbbs 了，提报病毒预警非常的及时

作者: anyangbbs 时间: 2020-6-24 10:26

天使之泪发表于 2020-6-24 08:04
没看懂这病毒的意义何在，这病毒作者无法在病毒中获益啊，难道说像当年熊猫一样纯破坏？ ...

我猜是甲方不给钱气急败坏

作者: 英雄不留名 时间: 2020-6-24 11:19
先支持一波火绒~但，这个病毒是咋取名的啊，端午假期？[来自刚刚看完火绒之前发的“病毒命名规则”的小白]

作者: 红狼 时间: 2020-6-24 11:32
下载了这个工具之后，点开始扫描，就没什么反应了，开始扫描变成灰色，是要一直等到软件扫描完么？？

作者: 火绒运营专员 时间: 2020-6-24 13:29

红狼发表于 2020-6-24 11:32
下载了这个工具之后，点开始扫描，就没什么反应了，开始扫描变成灰色，是要一直等到软件扫描完么？？ ...

目前界面上有点交互问题，点击开始扫描后按钮会变灰色，扫描结束后会有弹窗提示ok，同时会生成log在专杀所在目录。交互问题我们会近期进行升级，给您更好的体验，感谢您对火绒的支持！

作者: xinglian 时间: 2020-6-24 17:57
感觉问题挺大的，不止是没有交互那么简单，我觉得时间太长点了关闭后发现他还是在后台运行查杀
查杀完成后不会生成log，文件夹中只要有一个文件感染，后对整个文件夹里的所有文件进行查杀备份

用了后的感受像是下载了个木马处理病毒

作者: yonxi3 时间: 2020-6-25 13:02
发现的很快。

作者: anyangbbs 时间: 2020-6-25 21:51

火绒运营专员发表于 2020-6-24 13:29
目前界面上有点交互问题，点击开始扫描后按钮会变灰色，扫描结束后会有弹窗提示ok，同时会生成log在专杀 ...

请问，该病毒特征是否已经纳入常规版本的火绒安全软件毒库？

如果没有的话很容易二次感染啊，专杀查一次很耗时

作者: anyangbbs 时间: 2020-6-26 10:37

火绒运营专员发表于 2020-6-24 13:29
目前界面上有点交互问题，点击开始扫描后按钮会变灰色，扫描结束后会有弹窗提示ok，同时会生成log在专杀 ...

这个新版的我发现不只是扫*.ma *.mb 别的文件它全扫

作者: 15279254831 时间: 2020-6-27 08:25
我想问问，玛雅软件是干什么用的呢？

作者: VVST 时间: 2020-6-27 18:34

anyangbbs 发表于 2020-6-24 10:26
我猜是甲方不给钱气急败坏

哈哈哈哈哈哈哈哈哈哈

作者: gfei666 时间: 2020-6-28 07:55
这修复失败怎么搞。。。打开maya就卡死。

作者: CNGEGE 时间: 2020-6-28 10:34

15279254831 发表于 2020-6-27 08:25
我想问问，玛雅软件是干什么用的呢？

上面讲了是一款建模软件好像是

作者: qq344141 时间: 2020-6-28 11:35
现在全部格式都会扫描比如png dll 所以全盘扫描很慢而且不能粘贴路径不能选网络路径可以优化下吗

作者: yq1102 时间: 2020-6-28 17:50
标题: 28号查杀的，没好使
本帖最后由 yq1102 于 2020-6-28 17:51 编辑

28号查杀的，没好使

作者: gfei666 时间: 2020-6-29 08:39

gfei666 发表于 2020-6-28 07:55
这修复失败怎么搞。。。打开maya就卡死。

删除我的文档maya文件夹重置

作者: coolwushan 时间: 2020-7-8 17:11
animlmport与usersetup修复失败，通过文件搜索查到文件内容含有daxunhuan与putiantongqing字段的文件，有的扫不出来，还存在程序开好了挂在那里扫，过一会自动闪退，程序消失的情况

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)