Win32.Neshta — Белорусский вирус 2005-го года. Название вируса происходит от белорусского слова не́шта, означающего не́что. Программа является приложением Windows (exe-файл). Написана на Delphi. Размер оригинального вредоносного файла — 41 472 байта. Это файловый вирус — тот тип вируса, который уже не популярен в наше время, где лидерами давно стали трояны…
В базах антивирусных программ Neshta определяется так:
- Virus.Win32.Neshta — Касперский
- Win32.HLLP.Neshta — Dr. Web
- Win32.Neshta — NOD32
- Win32.Neshuta — Symantec
Симптомы вируса Neshta: вы пытаетесь запустить программу или игру, но ничего не происходит. Некоторые пользователи пытаются очень быстро и очень много кликать левой клавишей мыши — но безрезультатно. Даже выделение ярлыка и нажатие на клавиатуре клавише [Enter] на могает. Любой файл с расширением .exe стал больше на 41472 байт. Или ваш антивирус заругался, мол «Nesta» внутри… Тогда вы попали к нужному врачу…
Заражение вирусом Neshta: в папке Windows, вирус Neshta находит и удаляет файл svchost.com, и создает новый файл с тем- же именем … но это уже файл с телом нашего вируса.
В реестре создается запись:
[HKCR\exefile\shell\open\command]
@=»%WINDIR%\svchost.com \»%1\» %*»
Таким образом, все exe-файлы в системе при запуске будут вызывать новоявленный svchost.com, который и будет запускать вирус. Сам вирус будет искать файлы с расширением exe, и заражать их добавляя свой вредоносный код к ним, тем самым увеличивая размер файла на уже сказанное выше количество байт (41472 байта).
Лечение вируса Neshta: тестированные мной антивирусы, на момент написания статьи, не хотели лечить зараженные вирусом файлы, а лишь предлагали удалить их — а что значит потерять важные запускаемые программы и игры. Я решил отправить все зараженные файлы в карантин и потом их реанимировать (восстановить) оттуда, когда мой антивирус научится лечить данное заболевание. Но все равно хирургическое вмешательство нужно. Объясняю:
Создаем текстовый документ и вносим в него следующие данные:
REGEDIT4 [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] @="\"%1\" %*"
Примечание: пустая строка после REGEDIT4 — обязательна.
Сохраняем документ как: любое имя файла.reg и запускаем его. На предложение добавить информацию в реестр отвечаем — ДА. После этого можно лечить антивирусом. Надеюсь на момент чтения этой статьи все антивирусы научатся лечить этот вирус, а не удалять его вместе с нужными нам файлами. (Я уже создал этот файл и прикрепил к этой статье. Вы можете его скачать по ссылке, которая находится в конце этой статьи: neshta.reg)
Профилактика вируса Neshta: любой антивирус со свежими базами, и фаерволл (брандмауэр) … ну и конечно руки растущие из плеч.
С уважением, команда myadministrator.ru