Белорусский вредитель - НЕЧТО (neshta)

Win32.Neshta — Белорусский вирус 2005-го года. Название вируса происходит от белорусского слова не́шта, означающего не́что. Программа является приложением Windows (exe-файл). Написана на Delphi. Размер оригинального вредоносного файла — 41 472 байта. Это файловый вирус — тот тип вируса, который уже не популярен в наше время, где лидерами давно стали трояны...

В базах антивирусных программ Neshta определяется так:

  • Virus.Win32.Neshta — Касперский
  • Win32.HLLP.Neshta — Dr. Web
  • Win32.Neshta — NOD32
  • Win32.Neshuta — Symantec

Симптомы вируса Neshta: вы пытаетесь запустить программу или игру, но ничего не происходит. Некоторые пользователи пытаются очень быстро и очень много кликать левой клавишей мыши — но безрезультатно. Даже выделение ярлыка и нажатие на клавиатуре клавише [Enter] на могает. Любой файл с расширением .exe стал больше на 41472 байт. Или ваш антивирус заругался, мол «Nesta» внутри... Тогда вы попали к нужному врачу...

Заражение вирусом Neshta: в папке Windows, вирус Neshta находит и удаляет файл svchost.com, и создает новый файл с тем- же именем ... но это уже файл с телом нашего вируса.

В реестре создается запись:
[HKCR\exefile\shell\open\command]
@="%WINDIR%\svchost.com \"%1\" %*"

Таким образом, все exe-файлы в системе при запуске будут вызывать новоявленный svchost.com, который и будет запускать вирус. Сам вирус будет искать файлы с расширением exe, и заражать их добавляя свой вредоносный код к ним, тем самым увеличивая размер файла на уже сказанное выше количество байт (41472 байта).

Лечение вируса Neshta: тестированные мной антивирусы, на момент написания статьи, не хотели лечить зараженные вирусом файлы, а лишь предлагали удалить их — а что значит потерять важные запускаемые программы и игры. Я решил отправить все зараженные файлы в карантин и потом их реанимировать (восстановить) оттуда, когда мой антивирус научится лечить данное заболевание. Но все равно хирургическое вмешательство нужно. Объясняю:

Создаем текстовый документ и вносим в него следующие данные:

REGEDIT4

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
@="\"%1\" %*"

Примечание: пустая строка после REGEDIT4 — обязательна.

Сохраняем документ как: любое имя файла.reg и запускаем его. На предложение добавить информацию в реестр отвечаем — ДА. После этого можно лечить антивирусом. Надеюсь на момент чтения этой статьи все антивирусы научатся лечить этот вирус, а не удалять его вместе с нужными нам файлами. (Я уже создал этот файл и прикрепил к этой статье. Вы можете его скачать по ссылке, которая находится в конце этой статьи: neshta.reg)

Профилактика вируса Neshta: любой антивирус со свежими базами, и фаерволл (брандмауэр) ... ну и конечно руки растущие из плеч.

С уважением, команда myadministrator.ru

Скачать neshta.reg

comments powered by Disqus