先日Mayaのマルウェアが話題になって間もないですが、また同じようなやつが巷で話題になっていて、自分のところでも問題が確認されたのでざっくりまとめです。
前回のやつはこちら。
tm8r.hateblo.jp
今回のやつの挙動
今回のやつはシーン保存時に以下を実行します。
- 「C:\Users\%USERNAME%\Documents\maya\scripts」以下にvaccine.pyとuserSetup.pyを作成する
- Windows以外の場合は「cmds.internalVar(userAppDir=True)」で得られるディレクトリのscriptsディレクトリ以下になります
- 「C:\Users\%USERNAME%\Documents\maya\scripts」以下のuserSetup.melを削除する
- 開いているシーンに「vaccine_gene」と「breed_gene」という名前のScriptNodeを挿入する
- この挙動により、同じふるまいをするシーンが増殖していく
- sysytenasdasdfsadfsdaf_dsfsdfaasd、PuTianTongQing、daxunhuanのいずれかを含むscriptJobをkill、scriptNodeを削除する
- これに該当するscriptJobとscriptNodeは前回のマルウェアが作成するもの
- 対象があった場合は開いているシーンを同ディレクトリのhistoryディレクトリにバックアップをとった上で保存し、「你的文件被感染了,但是我贴心的为您杀毒并且备份了~不用谢~」とログ表示
- 対象がない場合は「你的文件贼健康~我就说一声没有别的意思」とログ表示
はい。
今回は特定の日にMayaをクラッシュさせたりしないようですね。
よかった。よくないけど。
むしろ先日のマルウェアを削除してくれるいいこにも見えますね。
ただ、userSetup.melを問答無用で消したり、userSetup.pyを問答無用で上書きしたりと、お作法がよろしくない…。
かつこれ自体の感染力というか繁殖力があまりにも強すぎて、お前アンチウイルスが目的のはずなのにウイルスみたいな動きしちゃってるじゃん的な。
コメントでご丁寧に「内部利用のみで、外に出た場合の問題には責任を持てない」って書いてあるのに、お前自分から外に出るじゃん的な。
実際のところはわかりませんが、本当になんの悪意もないとしたら対策を練る側としてはちょっと胸が痛いですね。
感染?の確認方法
なんか本来いい子なんじゃないかという感じに見えるので感染っていうのもちょっと憚れるんですが、とにもかくにも自分のところでもこの問題に遭遇しているか調べる方法はざっと以下の通りです。
- 「C:\Users\%USERNAME%\Documents\maya\scripts」以下にvaccine.pyがないか確認
- 「vaccine_gene」と「breed_gene」を含むシーンがないか確認
いずれかがあったらアウトです😇
対応方法
とにもかくにもまずは「C:\Users\%USERNAME%\Documents\maya\scripts」以下のvaccine.pyとvaccine.pycを削除しましょう。
あわせて同ディレクトリのuserSetup.pyを確認し、「vaccine」を含む内容が書かれていたらこいつも削除しましょう。
次にMayaを全て終了し、「vaccine_gene」と「breed_gene」を含むシーンをテキストエディタで開き、「vaccine_gene」と「breed_gene」のcreateNode部分を削除します。
※maに限る。
ミスったときようにバックアップとってからやると安心ですね。
ファイルオープン時にスクリプトノードを実行するオプションを無効にして該当シーンを開いて「vaccine_gene」と「breed_gene」を削除しても大丈夫です。たぶん。未検証です。
おわり
いろいろつらいですね。とりあえずじかんをかえして。
