[email protected]
06 19 61 29 25

Comment supprimer les virus ALC et CRP dans 3ds Max

Dans cet article, nous allons examiner comment supprimer les virus ALC et CRP les plus courants qui sont apparus sur pratiquement tous les 3D Stock, sans utiliser de scripts ou de plugins. Nous aborderons également comment prévenir la réinfection et comment ne pas devenir victime de faux logiciels antivirus.

Qu'est-ce que les virus dans 3ds Max et d'où viennent-ils ?

Les premières mentions d'objets étranges non amovibles qui pénétraient dans les scènes sont apparues fin 2016. À l'époque, personne ne comprenait l'apparition étrange d'assistants (Helpers) dans la scène avec les noms "¡¡×ý × û" et "×þ×ü", et on supposait qu'il s'agissait d'objets d'importation ratée depuis Auto CAD ou des programmes similaires. Autant que nous sachions, ALC et CRP ont commencé leur parcours sur les 3D Stocks chinois. Mais personne ne s'attendait à ce qu'en téléchargeant un modèle gratuit, on reçoive un tel "cadeau".

Les virus ALC et CRP ont gagné une plus grande diffusion fin 2017. Comme il n'y avait pas de protection à l'époque, ils ont atteint les 3D Stocks sans aucun problème. En fait, cela est devenu un facteur clé de leur propagation et un problème mondial.

Schéma de propagation des virus ALC et CRP dans 3ds Max

Le virus ALC : fonctionnement et caractéristiques

Après avoir essayé différentes options de suppression à l'aide de Maxscript, j'ai accidentellement réussi à provoquer une erreur dans le contrôleur de script, dans lequel le code malveillant était écrit. J'ai vu beaucoup de texte obfusqué dans le Listener (console Maxscript). Après une analyse minutieuse et une rétro-ingénierie, j'ai pu comprendre comment ce code fonctionne. À ma surprise, le script malveillant essayait de s'écrire dans le dossier de démarrage des scripts, enregistrait des rappels (callbacks) et se lançait lors des opérations de Merge, Open, X-Ref et autres opérations sur la scène. Cela signifiait que même si les fichiers étaient supprimés du démarrage, toute action sur la scène pouvait exécuter le code pour se réécrire dans les fichiers, et les assistants qui n'étaient pas supprimés contribuaient à l'initialisation de ce processus. Le comportement rappelait un "virus ver" typique, c'est pourquoi je l'ai nommé worm.3dsmax.alc.clb.

La logique de sécurité pour les modèles ou scènes commerciaux était intégrée dans le code. Si l'authentification n'était pas réussie, ALC pouvait modifier les paramètres de la scène, les matériaux, supprimer les lumiures, etc. Et dans les dernières modifications d'ALC3, vos rendus et informations personnelles pouvaient être envoyés aux serveurs C&C !

Bien qu'ALC ait été conçu comme une forme de protection pour les projets commerciaux de scènes et de modèles, en raison du mauvais fonctionnement du code lui-même, 3ds Max pouvait mal fonctionner, la fonction d'annulation (CTRL+Z) pouvait ne pas fonctionner, et divers bugs pouvaient survenir. Dans le code ALC, il n'y a pas de lignes spécifiques pour casser la fonction d'annulation (CTRL+Z), provoquer un crash au démarrage ou ralentir 3ds Max - ce sont tous des problèmes d'adaptation médiocre du code.

Cependant, nous avons un script qui se propage entre les scènes, peut provoquer le crash de 3ds Max, casser certaines fonctions comme CTRL+Z, modifier quelque chose dans la scène, dégrader les performances et interrompre le flux de travail, il est donc correct de l'appeler : un virus !

Étant donné qu'il s'agit d'un script ordinaire exécuté dans l'environnement 3ds Max, aucun antivirus ne peut détecter ces virus. Ils peuvent être supprimés manuellement ou avec des scripts spéciaux comme Prune Scene.

Peu importe le but ou les intentions de sa création, en réalité, nous n'avons qu'un seul problème et nous ne pouvons pas ignorer ce problème. Je recommande de partager cet article afin que tout le monde sache comment protéger son travail !

Schéma de distribution pour ALC et CRP

Comme mentionné ci-dessus, le virus ALC pénètre dans la scène sous le couvert d'assistants (Helpers), dans le contrôleur de script de mise à l'échelle (Scale script controller). 3ds Max est conçu de telle sorte que lors de l'ouverture de la scène, tous les contrôleurs de script sont exécutés. Imaginons maintenant comment tout cela fonctionne en combinaison :

  • Lorsque vous démarrez 3ds Max, les scripts du dossier de démarrage sont exécutés, qui créent des assistants et écrivent dans les rappels (callbacks).
  • Ces objets auxiliaires ne peuvent pas être supprimés et ils migrent facilement entre les scènes.
  • Avec chaque opération Open, Merge, X-Ref, des assistants sont également créés et un démarrage est enregistré, après quoi la scène est automatiquement sauvegardée.
  • Lorsque vous ouvrez une scène avec des assistants, toutes les mêmes actions sont effectuées : écriture dans le démarrage, création de rappels, sauvegarde automatique.

Ainsi, même si vous supprimez les fichiers du démarrage, et supprimez d'une manière ou d'une autre les assistants, un rappel sera toujours exécuté, ce qui relancera tout le processus !

Pour le virus CRP, le schéma est le même, sauf qu'il ne s'écrit pas dans le contrôleur de script, mais dans la variable globale persistante (Persistent global variable), qui est sauvegardée avec la scène et exécutée au démarrage de la scène. Et il injecte du code malveillant dans les scripts de démarrage.

Comment supprimer manuellement les virus ALC et CRP

La suppression des fichiers cachés du dossier de démarrage aidera à empêcher l'exécution du code malveillant au démarrage de 3ds Max. La suppression aide également si 3ds Max ne démarre pas après l'infection ou si le programme se ferme anormalement !

  1. Fermez 3ds Max.
  2. Accédez aux dossiers suivants :
    • C:/Users/Nom d'utilisateur/AppData/Local/Autodesk/3dsMax/xxxx- 64bit/ENU/scripts/startup
    • C:/Program Files/Autodesk/3ds Max xxxx/scripts/Startup
    Note ! Les indications en rouge représentent le nom d'utilisateur et la version, qui peuvent différer du vôtre.
  3. Ensuite, vous devez afficher les fichiers système cachés. Pour ce faire, allez dans l'onglet "Affichage", cliquez sur "Options".
    4. Fenêtre des options de dossier dans Windows Explorer
  4. Dans la fenêtre qui s'ouvre, allez dans l'onglet "Affichage" et désactivez "Masquer les fichiers protégés du système d'exploitation (recommandé)".
    5. Paramètres d'affichage des fichiers dans les options de dossier
  5. Les fichiers suivants indiquent la présence d'un virus :
    6. Exemples de noms de fichiers suspects dans le dossier startup
  6. Supprimez tous les fichiers cachés de ces dossiers !
  7. Note ! Si vous n'êtes pas sûr de ce que vous faites et craignez de perturber votre flux de travail, téléchargez et installez Prune Scene. Prune Scene vous aidera à corriger les conséquences de l'infection et à effectuer tout le travail nécessaire !

Vérification et suppression du code malveillant dans les scripts

Vérifiez chaque script dans ces dossiers pour l'injection de code malveillant. Ouvrez le fichier avec un éditeur de texte comme Notepad. Si la recherche dans le fichier ne trouve pas "CRP_AScript", alors le fichier est propre. Si vous trouvez "CRP_AScript", vous devez supprimer cette partie du code, à partir de la ligne où la phrase a été trouvée jusqu'à la fin du fichier. Ensuite, enregistrez le fichier.

Lancez 3ds Max, vous ne devriez plus voir d'assistants cachés ni ressentir d'autres effets des virus.

Attention ! Il faut garder à l'esprit que de cette manière, vous avez supprimé les virus de votre 3ds Max ! Mais si vous ouvrez une scène infectée, le processus recommencera. Il est impossible de supprimer les virus des scènes infectées sans scripts antivirus spéciaux comme Prune Scene !

Télécharger Prune Scene Gratuitement

Protection simple contre les virus

Je pense que beaucoup de lecteurs ont déjà deviné qu'il est nécessaire d'interdire l'accès en écriture aux dossiers de démarrage des scripts. Pour ce faire, pour les dossiers :

  • C:/Users/Nom d'utilisateur/AppData/Local/Autodesk/3dsMax/xxxx- 64bit/ENU/scripts/startup
  • C:/Program Files/Autodesk/3ds Max xxxx/scripts/Startup

Définissez la protection en écriture via les propriétés du dossier (Lecture seule).

Propriétés d'un dossier avec l'option Lecture seule activée

Note ! La protection en écriture vous aide à éviter les problèmes de propagation de virus. Mais il faut garder à l'esprit que certains scripts ne pourront plus être ajoutés ou modifiés. Par exemple, si vous avez installé MegaScans Bridge, vous recevrez très probablement une erreur et ne pourrez pas le lancer. Il convient de traiter avec compréhension et responsabilité l'interdiction d'écrire dans ces dossiers !

Configuration du fichier 3dsMax.ini

Ouvrez le fichier avec un éditeur de texte :

C:/Users/Nom d'utilisateur/AppData/Local/Autodesk/3dsMax/xxxx- 64bit/ENU/3dsMax.ini

Trouvez les paramètres suivants et définissez leur valeur sur "0" :

  • LoadStartupScripts=0
  • LoadSaveSceneScripts=0
  • LoadSavePersistentGlobals=0

Définissez la protection en écriture pour le fichier 3dsMax.ini.

Fichier 3dsMax.ini ouvert dans le Bloc-notes avec les paramètres modifiés

Note ! En définissant la protection en écriture pour 3dsMax.ini et en modifiant les paramètres décrits, certains paramètres de 3ds Max pourraient ne pas être sauvegardés à l'avenir ! Et aussi les attributs personnalisés et certains contrôleurs d'animation pourraient ne pas fonctionner. Il convient de comprendre ce à quoi le blocage de l'écriture dans le fichier de configuration 3dsMax.ini peut affecter !

Comme décrit ci-dessus, les virus peuvent écrire dans les rappels et exécuter du code malveillant lors de l'ouverture de fichiers (Open, Merge, X-Ref). Cela signifie que si vous lancez une scène avec un virus, tous les fichiers suivants qui sont ouverts seront infectés tant que la session 3ds Max actuelle est ouverte. Si vous ne voulez pas supporter les désagréments liés à l'impossibilité de sauvegarder les paramètres ou aux problèmes avec les scripts dans l'autorun, tels que MegaScans ou l'infection de fichiers dans la session en cours, je recommande d'utiliser des logiciels spécialisés pour le suivi et la suppression des virus comme Prune Scene.

Attention aux escrocs !

Récemment, j'ai vu de plus en plus de différents types d'"antivirus" apparaître, qui aident à nettoyer les virus de script. De plus, ils publient non seulement des scripts, mais aussi des applications tierces (programmes). Des utilisateurs crédules téléchargent des logiciels de ressources inconnues et de marques inconnues, qui contiennent très probablement un cheval de Troie ou un autre virus informatique plus grave.

Important ! Ne téléchargez jamais de fichiers *.exe et ne les exécutez jamais ! Cela s'applique également à l'installation de différents plugins * .dlo, * .dlc, * .dll, etc. Ne téléchargez rien depuis des sites chinois ou des ressources non vérifiées ! Il y a un grand risque que des développeurs peu scrupuleux y aient ajouté du code malveillant !

À l'heure actuelle, je ne connais que quelques développeurs éprouvés : 3DGROUND Prune Scene (7 ans), SiNI Software Forensic (6 ans) et Autodesk Security Tools. Je déconseille fortement de télécharger quoi que ce soit d'autre !

Outils de sécurité recommandés

  • 3DGROUND Prune Scene est un script simple, gratuit et léger avec une installation facile. Il ne nécessite pas de redémarrage de 3ds Max après l'installation. Il possède le plus grand nombre de signatures virales à l'heure actuelle. Le dossier de démarrage est protégé contre la réinfection. Les signatures bien optimisées ne ralentissent pas 3ds Max. Dispose d'une super fonction : recherche de virus dans le système de fichiers, sans ouvrir les fichiers eux-mêmes ! Les mises à jour sont publiées assez souvent, et si vous avez une licence, vous pouvez mettre à jour "over the air" en cliquant simplement sur un bouton de mise à jour en une seconde.
  • Autodesk Security Tools - l'antivirus officiel d'Autodesk, mis à jour pas aussi souvent que nous le souhaiterions. Installation assez complexe via Windows Installer. Possède moins de signatures virales par rapport aux analogues. Le code n'est pas optimisé et peut provoquer des ralentissements dans 3ds Max. Les outils de sécurité des scènes 3ds Max constituent la méthode recommandée par Autodesk pour détecter et supprimer plusieurs scripts tiers malveillants connus : CRP\ADSL, ALC, ALC2, PhysXPluginMfx, MSCPROP et leurs variantes. Ajout de fonctionnalités de gestion informatique. L’option « M’avertir concernant les mises à jour » informe les utilisateurs lorsque de nouvelles versions de cet outil sont disponibles sur Autodesk App Store. Les outils de sécurité des scènes 3ds Max sont conçus pour vous aider à réparer les fichiers de scène 3ds Max endommagés et l’environnement utilisateur de 3ds Max. Ce plug-in ne doit pas faire office d'outil de protection générale des points d'extrémité.
  • SiNI Software Forensic est un plugin à part entière qui fonctionne plus rapidement que les scripts, mais présente un certain nombre d'inconvénients. Installation et compréhension assez difficiles. Nécessite un redémarrage de 3ds Max après l'installation ou la mise à jour. Il y a une dépendance aux versions de 3ds Max. Les mises à jour ne sont pas publiées aussi souvent. Possède un système de licence complexe. Une connexion Internet est requise même si vous utilisez la version gratuite.

Introduction a 3dsMAX: Interface et Navigation (Francais)

The 3ds Max Scene Security Tools is provided "AS-IS." You acknowledge, accept, and agree that no software is error-free, and you are using the software at your own risk. Autodesk makes no offer for support of the software or your personal hardware and assumes no liability from damages incurred to your software or hardware due to your use of the tool. Autodesk makes no warranties as to performance, merchantability, fitness for a particular purpose, or any other warranties whether expressed or implied.

tags: #3ds #max #alc #virus

Articles populaires: