Virus.Win32.Neshta.

[Ŧ1LAN]

Название: Virus.Win32.Neshta.
Размер: 41472 байт.
Действие на систему:
Вирус, инфицируя компьютер, создет в папке с виндовс (Windows или Winnt) файл svchost.com размером 41472 байт.
Файл вируса загружается в опреативную память, при этом изменяя в системном реестре значение параметра в ветке

HKEY_CLASSES_ROOT\exefile\shell\open\command

таким образом, что все запускаемые файлы открываются только после того, как будут обратботаны svchost.com. Это отчетливо видно 98 винде, которая после удаления svchost.com не запускает ни один исполняемый файл, требуя его наличия. В "Диспетчере задач" появляется лишний svchost.exe.
После перезагрузки машины ни одна программа не запускается - это и есть один из видимых признаков работы Win32.Neshta.
Вирус увеличивает размер .exe и .dll файлов ровно на 41472 байт, т.е. инкапсулирует свое тело в эти файлы.
Легко проникает по сети на другие машины при условии контакта здоровой машины с инфицированным файлом компьютера - источником заражения.

Для восстановления запускаемости .exe файлов можно обновить вышеуказанную ветку реестра .reg файлом с такми содержанием:

REGEDIT4
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
@="\"%1\" %*"

Необходимо сохранить в блокноте этот код в файл имя_файла.reg и запустить его, согласившись на добавление информации в системный реестр.
Для запуска этого файла на инфицированной машине можно воспользоваться только Проводником или командой Выполнить. Другие файловые менеджеры, после изменения вирусом значения в реестре, не запускаются.
Далее удаляется файл svchost.com из системной папки с Виндовс.
Если антивирус не позволяет удалить инфицированный файл, загруженный в память, то для svchost.com необходимо подключить винчестер к другому компьютеру как Slave (дополнительный) или загрузиться в MS DOS.
Обычным способом svchost.com не удаляется при загруженной Виндовс, потому как запущен на выполнение.
После этого работают антивирусы.

Вроде инфицированные файлы не лечатся nod32 и AVP, поддерживается только их удаление.
Немного истории:

А теперь о белорусскости этой вредины.
При внимательном рассмотрении файла svchost.com, в комментариях к коду можно найти такие строки:

"Delphi-the best. Fuck off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм ~цiкавым~ беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама  Восень - кепская пара... Алiварыя - лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]"

Neshta - транслитерация белорусского слова "нешта" (нечто).
В комментарии видно, что вирус господина "Dziadulja Apanas" появился в ноябре 2005 года и это также подтверждается сообщениями в нете за декабрь месяц.

 

[Lol]

У нас в сети был нешта. Действительно, Каспер лечить не может, только удаляет, а это в свою очередь - катасрофа. Народ терял кучи софта и тп из-за каспера. А вот выход нашёлся в докторе вебе. Качаем отсюда бесплатную лечебную утилиту Dr.Web CureIT
Скачать|Download

Описание:
Бесплатная лечебная утилита Dr.Web CureIT! позволяет просканировать и если нужно, вылечить Ваш компьютер без необходимости установки на него антивируса. Утилита обновляется одновременно с выпуском новых антивирусных баз.

В общем избавляет полностью от нешты именно лечением файлов, а не удалением.

 

[FELIX-x]

Он незамечает нечту, он пропускает её мимо глаз и тем более не лечит. У меня счас 2 антивируса вкалывают: каспер и др.веб, каспер определяет, но не лечит, а дрювеб ваще не видит!!! :cry2:

 

[C.H.A.D.o]

В продолжении добавлю, что есть нешта есть двух ревизий, А и B , первая заражает только ехе, а вторая ехе и com фаилы, лечиться он легко, так как имеет прикольное но простое внедрение в заражённые фаилы.

сам его лечил др.вебером - "cureit" - ихней прогой
писал и отправлял в лабораториб касперского, они мне сказали, что внесли способ лечения в базы, хотя я не проверял. (исходное письмо от лаборатории касперского осталось)


если кому-то интересно покопаться в нём или отправить в какую-нибудь лабораторию антивирусов, то прилагаю атач с этим вирем (надеюсь меня за атач не забанят). пароль на архив: 12345

 

[Ŧ1LAN]

вот и описание от касперского.
Вредоносная программа, которая находит и заражает исполняемые файлы. Программа является приложением Windows (PE EXE-файл). Написана на Delphi. Размер оригинального вредоносного файла — 41 472 байта.

Инсталляция
В системном каталоге Windows (%WINDIR%) производится поиск и удаление файла svchost.com. После этого создается новый файл svchost.com, содержащий в себе тело вируса.

В системном реестре создается следующая запись:

[HKCR\exefile\shell\open\command]
 @="%WINDIR%\svchost.com \"%1\" %*"

Таким образом, все EXE-файлы в системе при запуске будут вызывать тело вируса, который и будет производить их дальнейший запуск.

Прочее
В теле вируса содержатся следующие строки:

Delphi-the best.
**** off all the rest.
Neshta 1.0
Made in Belarus.

Деструктивная активность

При запуске вирус расшифровывает текстовые строки внутри себя, проверяет, является ли его длина равной 41472 байта и, если она больше (запущен зараженный файл, а не тело вируса), то происходит вызов функции расшифровки и запуска файла.

В функции расшифровки и запуска файла вирус производит расшифровку части тела программы, которая была зашифрована после внедрения тела вируса в программу. Если по каким-то причинам вирусу не получается изменить запускаемый файл, то во временном каталоге Windows (%TEMP%) создается папка 3582_490 куда расшифровывается уже чистый исполняемый файл.

После запуска производится попытка заражения файлов перечисленных в файле %WINDIR%\directx.sys, если таковой присутствует.

После этого производится проверка количества параметров, переданных при вызове файла. Если параметры присутствуют и окончание у исполняемого файла .com, то производится запуск файла, имя которого передается в виде параметра, а его полное имя помещается в файл %WINDIR%\directx.sys для дальнейшего заражения.

Дальше происходит регистрация вируса в системе (создание и регистрация файла svchost.com).

После этого вирус создает в системе уникальный идентификатор «MutexPolesskayaGlush» для определения своего присутствия в системе.

После чего выполняются следующие действия:

вирус получает список дисков, которые не являются FDD и CD-ROM;
производится поиск файлов по найденным дискам, причем файлы должны соответствовать заданным критериям:
файлы должны быть не из каталогов %Program Files% и %WINDIR%;
не заражаются файлы на логических дисках A: и B:;
размер фалов должен быть не меньше 41473 и не больше 10000000 байт.
Вирус правильно обрабатывает файлы с атрибутом «только чтение». После заражения он восстанавливает начальные атрибуты файла.

Рекомендации по удалению

1) В системном реестре изменить значение следующего ключа:

[HKCR\exefile\shell\open\command]

c

%WINDIR%\svchost.com "%1" %*

на

"%1\" %*

2) Удалить файл %WINDIR%\svchost.com

 

[Siren]

у меня есть она-ее вроде каспер6 вылечил у меня заразила 650 файлов!
2а пришлось удалить, но винда не ровно теперь дышет.
у меня версия "а".

 

[Blade_r]

T1Lan, огромное спасибо, если б не ты я второй раз за один день систему переустанавливал, спасибо за способ лечения нешта

 

[chiff]

ухитрился таки подхватить эту заразу, лечил доктор вебом, вроде все окей, во возникли траблы с запуском экзешников, при запуске через ярлык выскакивает окошко "Выбор программы", и через него нужно указать путь к экзешнику,и тогда все ок; при запуске на прямую через экзешник выскакивает тоже окошко, и опять же надо указывать путь, к экзешнику.

 

[Shadow]

Дайте ишодники бируса плз

 

[@$_terr_X]

я так и не пойму, почему у мну антивир орёт?!!

 

[kontor]

да злой зверь
убился с livecd