Virus win32 neshta a что это
Прожектор угроз: Файловый вирус Neshta
Салют, хабровчане! В преддверии старта курса «Реверс-инжиниринг 2.0» хотим поделиться с вами еще одним интересным переводом.
Краткий обзор
Neshta — довольно старый файловый вирус, который до сих пор широко распространен. Изначально он был обнаружен в 2003 году и ранее ассоциировался с вредоносным ПО BlackPOS. Он добавляет вредоносный код в зараженные файлы. В основном эта угроза попадает в среду посредством непреднамеренной загрузки или с помощью других вредоносных программ. Он заражает исполняемые файлы Windows и может атаковать сетевые ресурсы и съемные носители.
Технический анализ
В этом разделе описываются симптомы заражения Neshta. Мы взяли образцы вируса закачанные на VirusTotal в 2007, 2008 и 2019.
Мы проанализировали файлы со следующими SHA-256 хэшами:
Статический анализ файла
Код Neshta скомпилирован с помощью Borland Delphi 4.0. Размер файла обычно составляет 41,472 байта.
Рисунок 1. Особенности хедеров секций.
Кроме того, код Neshta демонстрирует любопытные строки — см. рисунок 2 ниже:
“Delphi-the best. F*** off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм
беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама 🙂 Восень- кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]”
(«Delphi — лучший. Остальные идут на***. Neshta 1.0 Сделано в Беларуси. Привет всем
белорус_ким девчонкам. Аляксандр Григорьевич, вам тоже 🙂 Осень — плохая пара… Аливария — лучшее пиво! С наилучшими пожеланиями для Томми Сало. [Ноябрь-2005] ваш [Дедуля Апанас])»
Рисунок 2: Интересные строки в теле вируса
Заражение файлов
Сводка процесса заражения описана ниже и на рисунке 3.
Эти действия позволяют запускать вредоносный код сразу после запуска зараженного файла:
Рисунок 3: Заражение файла
При запуске зараженного файла исходная программа помещается в %Temp%\3582-490\ и запускается с помощью WinExec API.
Устойчивость
Neshta помещает себя в C:\Windows\svchost.com и устанавливает себя в реестр, используя следующие параметры:
MutexPolesskayaGlush*.* svchost.com exefile\shell\open\command‹À «%1» %*œ‘@
Еще один внедряемый файл — «directx.sys», который отправляется в %SystemRoot%. Это текстовый файл (а не драйвер ядра), который содержит путь к последнему зараженному файлу для запуска. Он обновляется каждый раз, когда исполняется зараженный файл.
BlackBerry Cylance останавливает Neshta
BlackBerry Cylance использует агентов на основе искусственного интеллекта, обученных обнаружению угроз на миллионах как безопасных, так и небезопасных файлов. Наши автоматизированные агенты безопасности блокируют Neshta, основываясь на множестве атрибутов файлов и вредоносном поведении, вместо того, чтобы полагаться на конкретную подпись файла. BlackBerry Cylance, которая предлагает прогнозное преимущество перед угрозами нулевого дня, обучена и эффективна против новых и известных кибератак. Для получения более подробной информации посетите https://www.cylance.com.
Приложение
Показатели компрометации (IOCs)
беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама 🙂 Восень- кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]
Virus.Win32.Neshta.a
Вредоносная программа, которая находит и заражает исполняемые файлы с файловым расширением «EXE».
Технические детали
Вредоносная программа, которая находит и заражает исполняемые файлы с файловым расширением «EXE». Является приложением Windows (PE-EXE файл). Имеет размер 9487286 байт. Написана на Delphi.
Инсталляция
После активации вирус копирует свое тело в корневой каталог Windows под именем svchost.com:
Данный файл имеет размер 41472 байта.
md5: BC93F4F527B58419EF42F19DB49F64A8
sha1: 2650A73B61577CFC0C0D80A7F38103D65388D808
Предварительно производится поиск и удаление существующего файла «%WinDir%\svchost.com».
Вирус изменяет значения следующего параметра ключа системного реестра:
Таким образом, при запуске всех EXE-файлов в системе будет запускаться тело вируса %WinDir%\svchost.com с параметром равным имени программы, которую запускает пользователь.
Деструктивная активность
Вирус получает список логических дисков на компьютере пользователя. После чего сканирует найденные диски в поисках исполняемых файлов Windows(PE-EXE), найденные файлы такого типа заражаются вирусом. При этом найденные файлы должны соответствовать критериям:
При заражении вирус записывает в начало файла свое тело и перенаправляет точку входа в программу на тело вируса, оригинальное начала файла переносится в конец файла, при этом часть переносимого блока шифруется.
Также вирус создает файл в корневом каталоге Windows под именем «directx.sys»:
Если тело вируса запускается с параметром равным имени программы, которую запускает пользователь,то производится запуск программы, имя которой передается в виде параметра, а полный путь к запущенной программе помещается в файл %WinDir%\directx.sys для дальнейшего заражения. При этом соблюдаются вышеуказанные критерии заражаемых файлов. Если был запущен зараженный файл (размер запускаемого файла больше 41472 байта), то после запуска тела вируса, вирус расшифровывает оригинальный файл и сохраняет его во временном каталоге текущего пользователя Windows в каталоге «3582-490» под оригинальным именем: после чего оригинальный файл запускается на выполнение. Для контроля уникальности своего процесса в системе вирус создает уникальный идентификатор с именем: В теле вируса содержаться следующие строки:
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
md5: 09CBA414D6EDC9999220D79660C155B8
sha1: 5C4C02F5F84A932CB476480F0343FCCF7F4B393D
Virus.win32.neshta.a
Вирус поражает все ехе файлы. Не возможно ни чего запустить ни с рабочего стола, ни через командную строку.
Можно ли его победить без перестановки виндовс?
Вирус поражает все ехе файлы. Не возможно ни чего запустить ни с рабочего стола, ни через командную строку.
Можно ли его победить без перестановки виндовс?
А можно как-нибудь проще это сделать. Заменить файл реестра. Может есть у кого-нибудь.
А можно как-нибудь проще это сделать. Заменить файл реестра. Может есть у кого-нибудь.
Нет. Проще не получится. Вирус одним изменением реестра не вылечить. Берите внешний носитель с ОС, записывайте на него свежий CureIt! и, загрузившись с него, лечите систему.
А можно как-нибудь проще это сделать. Заменить файл реестра. Может есть у кого-нибудь.
Нет. Проще не получится. Вирус одним изменением реестра не вылечить. Берите внешний носитель с ОС, записывайте на него свежий CureIt! и, загрузившись с него, лечите систему.
Дело в том, что не запускаются ехе файлы после лечения.
Не было антивируса, принесли вместе с зараженными файлами, вирус проник в систему, установил антивирус, но после проверки не запускаются ехе файлы. О как. Как быть? Только внешний носитель и все?
Необходим комплексный подход..
-экспорт нескольких веток реестра
-копирование eircar
Но сначала логи http://forum.drweb.com/index.php?showtopic=277652
Необходим файл до лечения и файл после лечения.
Дело в том, что не запускаются ехе файлы после лечения.
Не было антивируса, принесли вместе с зараженными файлами, вирус проник в систему, установил антивирус, но после проверки не запускаются ехе файлы. О как. Как быть? Только внешний носитель и все?
Ребята я дуб дубом в более глубоких вопросах о компах.
Расскажите по подробнее или киньте ссылку где прочитать.
Спасибо.
Дело в том, что не запускаются ехе файлы после лечения.
Не было антивируса, принесли вместе с зараженными файлами, вирус проник в систему, установил антивирус, но после проверки не запускаются ехе файлы. О как. Как быть? Только внешний носитель и все?
Ситуация, IMHO, из верии «везите к нам». Нужна достаточно высокая квалификация врачевателя, возможно, вообще Live CD потребуется.
В нашей классификации такого нет- Virus.win32.neshta.a
Но ты конечно можешь снова поспорить.
Ситуация, IMHO, из верии «везите к нам». Нужна достаточно высокая квалификация врачевателя, возможно, вообще Live CD потребуется.
Это можно делать каждый день без опаски за какие-либо повреждения.
Лечение я человеку не предлагал, я ему предложил возможность запускать exe файлы.
Реги могут быть разные. Остальное мне не интересно.
Но ты конечно можешь снова поспорить.
Обязательно поспорю. Исправление запуска *.exe при активном заражении ни к чему не приведет (я это схавал в Николаеве и в Одессе в инет-кафешках. а у меня была флешка с всеми инструментами. Да и Сектор меня поставил на место. )
Обязательно поспорю. Исправление запуска *.exe при активном заражении ни к чему не приведет (я это схавал в Николаеве и в Одессе в инет-кафешках. а у меня была флешка с всеми инструментами. Да и Сектор меня поставил на место. )
Возможность запуска *.exe при файловом вирусе до опы. Сначала определите инфекцию.
Дело в том, что не запускаются ехе файлы после лечения.
Где тут активное заражение? Да, понимаю, что если оно есть, то моя инструкция ни к чему не приведёт, но если вирус побит, и осталось чутка подправить реестр (чем здесь и пахнет), то тогда мой совет очень даже ничего.
P.S.
Дорогой друг, не давайте «секторам» ставить себя «на место».
Обязательно поспорю. Исправление запуска *.exe при активном заражении ни к чему не приведет (я это схавал в Николаеве и в Одессе в инет-кафешках. а у меня была флешка с всеми инструментами. Да и Сектор меня поставил на место. )
Возможность запуска *.exe при файловом вирусе до опы. Сначала определите инфекцию.
Дело в том, что не запускаются ехе файлы после лечения.
Где тут активное заражение? Да, понимаю, что если оно есть, то моя инструкция ни к чему не приведёт, но если вирус побит, и осталось чутка подправить реестр (чем здесь и пахнет), то тогда мой совет очень даже ничего.
P.S.
Дорогой друг, не давайте «секторам» ставить себя «на место».
Белорусский вредитель — НЕЧТО (neshta)
Win32.Neshta — Белорусский вирус 2005-го года. Название вируса происходит от белорусского слова не́шта, означающего не́что. Программа является приложением Windows (exe-файл). Написана на Delphi. Размер оригинального вредоносного файла — 41 472 байта. Это файловый вирус — тот тип вируса, который уже не популярен в наше время, где лидерами давно стали трояны…
В базах антивирусных программ Neshta определяется так:
Заражение вирусом Neshta: в папке Windows, вирус Neshta находит и удаляет файл svchost.com, и создает новый файл с тем- же именем … но это уже файл с телом нашего вируса.
В реестре создается запись:
[HKCR\exefile\shell\open\command]
@=»%WINDIR%\svchost.com \»%1\» %*»
Таким образом, все exe-файлы в системе при запуске будут вызывать новоявленный svchost.com, который и будет запускать вирус. Сам вирус будет искать файлы с расширением exe, и заражать их добавляя свой вредоносный код к ним, тем самым увеличивая размер файла на уже сказанное выше количество байт (41472 байта).
Лечение вируса Neshta: тестированные мной антивирусы, на момент написания статьи, не хотели лечить зараженные вирусом файлы, а лишь предлагали удалить их — а что значит потерять важные запускаемые программы и игры. Я решил отправить все зараженные файлы в карантин и потом их реанимировать (восстановить) оттуда, когда мой антивирус научится лечить данное заболевание. Но все равно хирургическое вмешательство нужно. Объясняю:
Создаем текстовый документ и вносим в него следующие данные:
Примечание: пустая строка после REGEDIT4 — обязательна.
Сохраняем документ как: любое имя файла.reg и запускаем его. На предложение добавить информацию в реестр отвечаем — ДА. После этого можно лечить антивирусом. Надеюсь на момент чтения этой статьи все антивирусы научатся лечить этот вирус, а не удалять его вместе с нужными нам файлами. (Я уже создал этот файл и прикрепил к этой статье. Вы можете его скачать по ссылке, которая находится в конце этой статьи: neshta.reg)
Профилактика вируса Neshta: любой антивирус со свежими базами, и фаерволл (брандмауэр) … ну и конечно руки растущие из плеч.
Neshta
Neshta — компьютерный вирус, появившийся в Республике Беларусь в конце 2005-го года. Название вируса происходит от транслитерации белорусского слова «не́шта», означающего «нечто», «что-то». Neshta относится к категории файловых вирусов — ныне мало популярному виду вредоносных программ.
В базах антивирусных программ Neshta известен, как Virus.Win32.Neshta («Антивирус Касперского»), Win32.HLLP.Neshta (Dr. Web), Win32.Neshta (NOD32), Win32.Neshuta (Symantec Antivirus).
Фактически, Neshta является первым белорусским вирусом, получившим широкое распространение (в основном, в самой Беларуси и странах СНГ ). При том, что вирус не содержит в себе разрушительной функции, в первые месяцы его распространения большое число компьютеров в Беларуси пострадало как раз от его лечения. Это было связано с тем, что популярные антивирусы удаляли сам вирус, но не возвращали некоторые изменённые вирусом значения в реестре ОС Windows в первоначальный вид. В результате, нормально работавшая до лечения система, при попытке запустить любую программу выдавала стандартное сообщение об ошибке Windows : «Не удалось открыть следующий файл…».
Содержание
Технические подробности [ ]
Для восстановления работоспособности компьютера после удаления Neshta антивирусом может понадобиться изменить значение ключа в реестре по адресу HKCR\exefile\shell\open\command с «%Windows%\svchost.com „%1“ %*» на «„%1“ %*» — БЕЗ упоминаний о windows\svchost.com
Выявлен факт, что при невозможности скопировать свое тело в папку Windows, вирус пытается копировать себя в профиль учетной записи administrator. И прописывает свой запуск в реестр оттуда.
Послание автора [ ]
Известно две версии вируса — «а» и «b». Версия «a» содержит в себе послание автора следующего содержания:
Текст на белорусском языке переводится как «Привет всем
белорусским девушкам. Александр Григорьевич (возможно, что имеется ввиду А. Г. Лукашенко — президент Республики Беларусь) — вам также. Осень — плохая пора. Аливария (марка белорусского пива) — лучшее пиво». Также, автор передает «наилучшие пожелания» Томми Сало — вратарю сборной Швеции по хоккею, в результате ошибки которого в четвертьфинальной игре на зимней олимпиаде 2002 года в Солт Лейк Сити сборная Беларуси смогла выйти в полуфинал.