Neshta

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Win32.Neshta — Белорусский вирус 2005-го года. Название вируса происходит от белорусского слова "нешта", означающего нечто. Программа является приложением Windows (exe-файл). Написана на Delphi. Размер оригинального вредоносного файла — 41 472 байта. Это файловый вирус — тот тип вируса, который уже не популярен в настоящее время.

В базах антивирусных программ Neshta определяется так:

Симптомы вируса[править | править исходный текст]

Попытка запуска какого-либо приложения не дает результата. Любой файл с расширением .exe стал больше на 41472 байт. Сам вирус создает в системной папке (Windows) файл svchost.com, который является телом вируса.

В реестре создается запись: [HKCR\exefile\shell\open\command] @="%WINDIR%\svchost.com \"%1\" %*"

Таким образом, все exe-файлы в системе при запуске будут вызывать новоявленный svchost.com, который и будет запускать вирус. Сам вирус будет искать файлы с расширением exe, и заражать их, добавляя к ним вредоносный код, тем самым увеличивая размер файла на уже сказанное выше количество байт (41472 байта).

Послание автора[править | править исходный текст]

Известно две версии вируса — «а» и «b». Версия «a» содержит в себе послание автора следующего содержания:

«Delphi-the best. Fuck off all the rest. Neshta 1.0. Made in Belarus. Прывiтанне ўсiм ~цiкавым~ беларус_кiм дзяўчатам. Аляксандр Рыгоравiч, вам таксама. Восень — кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]»

Текст составлен частично на белорусском, частично на английском языках. Перевод: « Делфи - лучший. Остальные пусть убираются [примерный цензурированный перевод]. Привет всем ~интересным~ белорусским девушкам. Александр Григорьевич, вам также. Осень — плохая пора. Оливария — лучшее пиво. Наилучшие пожелания Томми Сало».

Необходимо пояснить, что Делфи— это язык программирования, под Александром Григорьевичем, вероятно, имеется в виду президент Беларуси Лукашенко, «Оливария» — марка белорусского пива, Томми Сало — вратарь сборной Швеции по хоккею, в результате ошибки которого в четвертьфинальной игре на зимней олимпиаде 2002 года в Солт Лейк Сити сборная Беларуси смогла выйти в полуфинал.

Факты[править | править исходный текст]

  • В 2007-м году широкую огласку получил случай заражения вирусом Neshta всего компьютерного парка крупного белорусского банка «Технобанк», в результате которого клиенты банка на протяжении нескольких суток не могли проводить денежные операции. Сообщение о данном инциденте появилось в телевизионных новостях белорусского канала «ОНТ».
  • Правоохранительные органы Беларуси в 2006 году заявили о намерении найти и привлечь к ответственности автора вредоносного кода, однако до сих пор имя автора Neshta неизвестно.
  • Кроме стран СНГ, вирус распространился (менее значительно) на территории США, Канады, Польши, Германии, Бразилии и других стран.
  • На протяжении всего времени с момента обнаружения, страница с описанием вируса Neshta в «Вирусной энциклопедии» находится в десятке самых посещаемых.


Лечение и удаление[править | править исходный текст]

Использовать популярные антивирусы для сканирования и удаления. Если же установить антивирус не удаётся, воспользоваться запуском системы в безопасном режиме и запустить утилиту Dr. Web CureIt, после чего провести полную проверку системы. После того, как вирус будет удален, изменить ветку в реестре HKCR\exefile\shell\open\command с «%Windows%\svchost.com „%1“ %*» на «„%1“ %*».Если вместо "1" поставить "0" exe файлы перестанут запускаться.

При обнаружении вируса антивирус может потребовать удаления вируса, тем самым файл .exe будет удален, рекомендуется использовать лечение файла, чтобы сохранить .exe файл для дальнейшего использования.

Создаем текстовый документ и вносим в него следующие данные:

REGEDIT4


[HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] @="\"%1\" %*"

Примечание: пустая строка после REGEDIT4 - обязательна.


Сохраняемся и закрываем текстовый документ. Затем, меняем расширение документа с TXT на REG. Запускаем полученный файл реестра и соглашаемся с добавление данных.

Ссылки[править | править исходный текст]

В тексте файла првки реестра пустая строка нужна и после последнеий сроки так как без неё исправления реестра не происходит. Также вирус создает файл в корневом каталоге Windows под именем "directx.sys":

Поэтому дополнительно заходим в папку Windows и удаляем оттуда файл directx.sys Данного файла изначально в папке Windows не существует, так что удаляем смело.