Neshta

Win32.Neshta — Белорусский вирус 2005-го года. Название вируса происходит от белорусского слова нешта, означающего нечто. Программа является приложением Windows (exe-файл). Написана на Delphi. Размер оригинального вредоносного файла — 41 472 байта. Это файловый вирус — тот тип вируса, который уже не популярен в наше время, где лидерами давно стали трояны.

В базах антивирусных программ Neshta определяется так:

Virus.Win32.Neshta — Касперский Win32.HLLP.Neshta — Dr. Web Win32.Neshta — NOD32 Win32.Neshuta — Symantec Симптомы вируса Neshta: вы пытаетесь запустить программу или игру, но ничего не происходит. Некоторые пользователи пытаются очень быстро и очень много кликать левой клавишей мыши — но безрезультатно. Даже выделение ярлыка и нажатие на клавиатуре клавише [Enter] на помогает. Любой файл с расширением .exe стал больше на 41472 байт.

Заражение вирусом Neshta: в папке Windows, вирус Neshta создает файл svchost.com, который является телом вируса.

В реестре создается запись: [HKCR\exefile\shell\open\command] @="%WINDIR%\svchost.com \"%1\" %*"

Таким образом, все exe-файлы в системе при запуске будут вызывать новоявленный svchost.com, который и будет запускать вирус. Сам вирус будет искать файлы с расширением exe, и заражать их добавляя свой вредоносный код к ним, тем самым увеличивая размер файла на уже сказанное выше количество байт (41472 байта).

Профилактика вируса Neshta: любой антивирус со свежими базами, и фаерволл (брандмауэр).

Послание автора

Известно две версии вируса — «а» и «b». Версия «a» содержит в себе послание автора следующего содержания:

«Delphi-the best. Fuck off all the rest. Neshta 1.0. Made in Belarus. Прывiтанне ўсiм ~цiкавым~ беларус_кiм дзяўчатам. Аляксандр Рыгоравiч, вам таксама. Восень — кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]»

Текст составлен частично на белорусском, частично на английском языках. Перевод: « Делфи - лучший. Остальные пусть убираются [примерный цензурированный перевод]. Привет всем ~интересным~ белорусским девушкам. Александр Григорьевич, вам также. Осень — плохая пора. Оливария — лучшее пиво. Наилучшие пожелания Томми Сало».

Необходимо пояснить, что Делфи— это язык программирования, под Александром Григорьевичем, вероятно, имеется в виду президент Беларуси Лукашенко, «Оливария» — марка белорусского пива, Томми Сало — вратарь сборной Швеции по хоккею, в результате ошибки которого в четвертьфинальной игре на зимней олимпиаде 2002 года в Солт Лейк Сити сборная Беларуси смогла выйти в полуфинал.

Факты

• В 2007-м году широкую огласку получил случай заражения вирусом Neshta всего компьютерного парка крупного белорусского банка «Технобанк», в результате которого клиенты банка на протяжении нескольких суток не могли проводить денежные операции. Сообщение о данном инциденте появилось в телевизионных новостях белорусского канала «ОНТ».
• Правоохранительные органы Беларуси в 2006 году заявили о намерении найти и привлечь к ответственности автора вредоносного кода, однако до сих пор имя автора Neshta неизвестно.
• Кроме стран СНГ, вирус распространился (менее значительно) на территории США, Канады, Польши, Германии, Бразилии и других стран.
• На протяжении всего времени с момента обнаружения, страница с описанием вируса Neshta в «Вирусной энциклопедии» находится в десятке самых посещаемых.

Ссылки

• «Вирусная энциклопедия» — описание вируса Neshta в «Вирусной энциклопедии» (Can't find virus record)
• Neshta в новостях
• Лечение и удаление вируса Neshta

Лечение и удаление

Использовать популярные антивирусы для сканирования и удаления. Если же установить антивирус не удаётся, воспользоваться запуском системы в безопасном режиме и запустить утилиту Dr. Web CureIt, после чего провести полную проверку системы. После того, как вирус будет удален, изменить ветку в реестре HKCR\exefile\shell\open\command с «%Windows%\svchost.com „%1“ %*» на «„%1“ %*».

При обнаружении вируса антивирус может потребовать удаления вируса, тем самым файл .exe будет удален, рекомендуется использовать лечение файла, чтобы сохранить .exe файл для дальнейшего использования.

Связать^?

На эту статью не ссылаются другие статьи Википедии. Пожалуйста, воспользуйтесь подсказкой и установите ссылки в соответствии с принятыми рекомендациями.