Вирус neshta как вылечить
Ну вот вам первый совет.
До сих пор встречается этот вирус, хоть и стоят у людей различные антивирусные программы. Вот что муж писал в черновиках…
Вот может кому и пригодится данная информация. Искал себе на просторах Интернета дефрагментатор и… нашел с кряком:). Мой антивирус Comodo сразу взвыл – вирус win32.neshta.a, но я не принял его доводы во внимание и разрешил ему установиться.
Вот что известно о нем: Neshta — зловредный код ( в дальнейшем вирус) появившился в Беларуси в конце 2005г. Имя вирус получил возможно от транслитерации белорусского слова «не́шта», означающего «нечто», «что-то», а возможно по названию города. Neshta относится к категории файловых вирусов— в настоящее время не сильно популярных среди вирусных программ.
В базах антивирусных программ Neshta известен, как Virus.Win32.NeshtaWin32.HLLP.Neshta (Dr. Web), Win32.NeshtaWin32.Neshuta («Symantec Antivirus»), Win32:Trojan-gen («avast!»).
(«Антивирус Касперского»), (NOD32),
При запуске зараженной программы на «чистой» машине, вирус копирует своё тело в файл svchost.com (размер — 41 472 байта) в директории Windows. После этого регистрирует этот файл в системном реестре по адресу HKCRexefileshellopencommand, в результате чего запуск любого exe-файла на зараженной машине будет предваряться запуском файла вируса. Затем, вирус сканирует доступные логические диски компьютера и заражает exe файлы, удовлетворяющее некоторым критериям (как правило, это подавляющее большинство exe-файлов). После заражения работа компьютера не нарушается.
Для восстановления работоспособности компьютера после удаления Neshta антивирусом может понадобиться изменить значение ключа в реестре по адресу HKCRexefileshellopencommand с «%Windows%svchost.com „%1″ %*»«„%1″ %*» — БЕЗ упоминаний о windowssvchost.comна
Выявлен факт, что при невозможности скопировать свое тело в папку Windows, вирус пытается копировать себя в профиль учетной записи administrator. И прописывает свой запуск в реестр оттуда.
Скачал утилиту от Касперского и запустил – вирус не находит. Скачал утилиту от Доктора Веб и запустил – вирус не находит. Очень неприятный момент. Пришлось действовать головой).
Способ лечения вируса win32.neshta.a :
Первый – переустановить начисто систему, предварительно прогнав из-под DOS антивирусом. В этом случае, вы лишитесь всех файлов EXE, зараженных NESHTA.
Второй. Как ни прискорбно, но большинство антивирусов не лечат файлы зараженные NESHTA, а просто удаляют их. Но, у DRWEB есть бесплатная утилита под названием CUREIT. Вы можете бесплатно скачать ее с сайта DRWEB. Так же вам понадобится файл реестра, который вы можете сделать сами следующим образом. Создаем текстовый документ и вносим в него следующие данные:
REGEDIT4
[HKEY_CLASSES_ROOTexefileshellopencommand]
@=””%1″ %*”
[HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand]
@=””%1″ %*”
Примечание: пустая строка после REGEDIT4 – обязательна.
Сохраняемся и закрываем текстовый документ. Затем, меняем расширение документа с TXT на REG. Запускаем полученный файл реестра и соглашаемся с добавление данных. После чего запускаем утилиту CUREIT и проводим полную проверку системы. Что удивительно, теперь утилита видит вирус и лечит его спокойно. Утилита от Касперского все и теперь не видит заражение – прискорбно. Ну продолжим… На предложения типа «лечить» соглашаемся «да для всех».
Лечение 120 гигов заняло 8,5 часов, пролечил 950 файлов с расширением exe.
Источник
Салют, хабровчане! В преддверии старта курса «Реверс-инжиниринг 2.0» хотим поделиться с вами еще одним интересным переводом.
Краткий обзор
Neshta — довольно старый файловый вирус, который до сих пор широко распространен. Изначально он был обнаружен в 2003 году и ранее ассоциировался с вредоносным ПО BlackPOS. Он добавляет вредоносный код в зараженные файлы. В основном эта угроза попадает в среду посредством непреднамеренной загрузки или с помощью других вредоносных программ. Он заражает исполняемые файлы Windows и может атаковать сетевые ресурсы и съемные носители.
В 2018 году Neshta преимущественно ориентировалась на обрабатывающую промышленность, но также атаковала финансовый, потребительский и энергетический секторы. В целях устойчивости в системе Neshta переименовывает себя в svchost.com, а затем изменяет реестр, чтобы он запускался каждый раз при запуске .exe файла. Известно, что эта угроза собирает системную информацию и использует POST запросы для эксфильтрации данных на сервера, контролируемые злоумышленниками. Двоичные файлы Neshta, использованные в нашем анализе, не продемонстрировали поведение или функциональность эксфильтрации данных.
Технический анализ
В этом разделе описываются симптомы заражения Neshta. Мы взяли образцы вируса закачанные на VirusTotal в 2007, 2008 и 2019.
Мы проанализировали файлы со следующими SHA-256 хэшами:
- 29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
- 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
- 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
- a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
- 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
- c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75
Статический анализ файла
Код Neshta скомпилирован с помощью Borland Delphi 4.0. Размер файла обычно составляет 41,472 байта.
Как и любой бинарный файл Delphi, Neshta имеет четыре записываемых (DATA, BSS, .idata и .tls) и три разделяемых секции (.rdata, .reloc и .rsrc):
Рисунок 1. Особенности хедеров секций.
Кроме того, код Neshta демонстрирует любопытные строки — см. рисунок 2 ниже:
“Delphi-the best. F*** off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм ~цiкавым~ беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама 🙂 Восень- кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]”
(«Delphi — лучший. Остальные идут на***. Neshta 1.0 Сделано в Беларуси. Привет всем ~ интересным ~ белорус_ким девчонкам. Аляксандр Григорьевич, вам тоже 🙂 Осень — плохая пара… Аливария — лучшее пиво! С наилучшими пожеланиями для Томми Сало. [Ноябрь-2005] ваш [Дедуля Апанас])»
Рисунок 2: Интересные строки в теле вируса
Заражение файлов
Основной особенностью Neshta является файловый заражатель, который ищет .exe файлы на локальных дисках. Neshta нацелен на «.exe» файлы, исключая лишь те, которые содержат в своем коротком пути любую из следующих строк:
- %Temp%
- %SystemRoot% (usually C:Windows)
- PROGRA~1
Сводка процесса заражения описана ниже и на рисунке 3.
Neshta:
- Считывает 41,472 (0xA200) байта с начала целевого исходного файла.
- Создает два раздела и выделяет память с атрибутом PAGE_READWRITE в начале и конце исходного файла.
- Помещает свой вредоносный заголовок и код в начале исходного файла. Записанные данные составляют 41,472 байта.
- Записывает закодированный исходный заголовок и код в файл, размер которого составляет 41,472 байта.
Эти действия позволяют запускать вредоносный код сразу после запуска зараженного файла:
Рисунок 3: Заражение файла
При запуске зараженного файла исходная программа помещается в %Temp%3582-490<filename> и запускается с помощью WinExec API.
Устойчивость
Neshta помещает себя в C:Windowssvchost.com и устанавливает себя в реестр, используя следующие параметры:
Ключ реестра: HKLMSOFTWAREClassesexefileshellopencommand
Значение реестра: (Default)
Значение: %SystemRoot%svchost.com “%1” %*
Это изменение реестра предписывает системе запускать Neshta при каждом запуске .exe-файла. “%1” %* указывает на запущенный файл .exe. Кроме того, Neshta создает именованный мьютекс для проверки существования другого работающего экземпляра:
MutexPolesskayaGlush*.*<0x90>svchost.com<0x90>exefileshellopencommand‹À “%1” %*œ‘@
Еще один внедряемый файл — «directx.sys», который отправляется в %SystemRoot%. Это текстовый файл (а не драйвер ядра), который содержит путь к последнему зараженному файлу для запуска. Он обновляется каждый раз, когда исполняется зараженный файл.
BlackBerry Cylance останавливает Neshta
BlackBerry Cylance использует агентов на основе искусственного интеллекта, обученных обнаружению угроз на миллионах как безопасных, так и небезопасных файлов. Наши автоматизированные агенты безопасности блокируют Neshta, основываясь на множестве атрибутов файлов и вредоносном поведении, вместо того, чтобы полагаться на конкретную подпись файла. BlackBerry Cylance, которая предлагает прогнозное преимущество перед угрозами нулевого дня, обучена и эффективна против новых и известных кибератак. Для получения более подробной информации посетите https://www.cylance.com.
Приложение
Показатели компрометации (IOCs)
- Хэши
o 29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
o 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
o 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
o a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
o 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
o c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75
- Имена файлов
o %SystemRoot%svchost.com
o %SystemRoot%directx.sys
o %Temp%tmp5023.tmp
- C2s/IPs
- Мьютексы
o MutexPolesskayaGlush*.*<0x90>svchost.com<0x90>exefileshellopencommand‹À “%1” %*œ‘@
- Интересные строки
o Delphi-the best. F**k off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм ~цiкавым~ беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама 🙂 Восень- кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]
Узнать подробнее о курсе.
Источник
Neshta
— компьютерный вирус, появившийся в Беларуси в конце 2005-го года.
Название вируса происходит от транслитерации белорусского слова
«не́шта» , означающего «нечто» , «что-то» . Neshta относится к категории
файловых вирусов — ныне мало популярному виду вредоносных программ.
В
базах антивирусных программ Neshta известен, как Virus.Win32.Neshta
(«Антивирус Касперского») , Win32.HLLP.Neshta (Dr. Web), Win32.Neshta
(NOD32), Win32.Neshuta («Symantec Antivirus»), Win32:Trojan-gen
(«avast!»).
Фактически, Neshta является первым белорусским
вирусом, получившим широкое распространение (в основном, в самой
Беларуси и странах СНГ) . При том, что вирус не содержит в себе
разрушительной функции, в первые месяцы его распространения большое
число компьютеров в Беларуси пострадало как раз от его лечения. Это было
связано с тем, что популярные антивирусы удаляли сам вирус, но не
возвращали некоторые изменённые вирусом значения в реестре ОС Windows в
первоначальный вид. В результате, нормально работавшая до лечения
система, при попытке запустить любую программу выдавала стандартное
сообщение об ошибке Windows: «Не удалось открыть следующий файл…» .
К сожалению страдают и сейчас.
Вирус Win32.NESHTA
очень распространенный вирус. Излюбленным местом обитания этого
паразита являются неадминистрируемые локальные сети. Любит компьютеры
незащищенные антивирусными программами или защищенные в недостаточной
степени. Устаревшие антивирусные базы или бесплатные антивирусы, ни в
коей мере не могут поставить надежный щит от проникновения этого и
многих других вирусов.
Последствия заражения вирусом NESHTA.
Когда на компьютере перестают запускаться программы и игры, знайте, вы
попали в цепкие лапы вируса NESHTA. Упорно кликая по ярлыкам или файлам
программ, вы с удивлением замечаете, что ничего не происходит.
Принцип действия вируса NESHTA. На заражаемый компьютер прописывается исполняемый файл вируса C:WINDOWS svchost.com, который, в свою очередь, пытается дотянуться до всех исполняемых файлов с расширением EXE.
А, дотянутся, он может до всего. Это и программы, которые вы
используете в повседневной работе на компьютере, и любимые игры и
дистрибутивы из вашей коллекции программ. Дотянувшись до файла с
расширением EXE, NESHTA увеличивает размер файла на 41472
байт. Происходит внедрение в тело файла тела вируса. В дальнейшем
зараженный файл уже сам является разносчиком заразы и способен заразить
незащищенный компьютер.
Есть два способа избавить от NESHTA.
Первый – переустановить начисто систему, предварительно прогнав из-под DOS антивирусом. В этом случае, вы лишитесь всех файлов EXE, зараженных NESHTA.
Второй. Как ни прискорбно, но большинство антивирусов не лечат файлы зараженные NESHTA, а просто удаляют их. Но, у DRWEB есть бесплатная утилита под названием CUREIT.
Вы можете бесплатно скачать ее с сайта . Так же вам понадобится файл
реестра, который вы можете сделать сами следующим образом. Создаем
текстовый документ и вносим в него следующие данные:
Ключ реестра
REGEDIT4
[HKEY_CLASSES_ROOTexefileshellopencommand]
@=””%1″ %*”
[HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand]
@=””%1″ %*”
Примечание: пустая строка после REGEDIT4 – обязательна.
Сохраняемся и закрываем текстовый документ. Затем, меняем расширение документа с TXT на REG. Запускаем полученный файл реестра и соглашаемся с добавление данных. После чего запускаем утилиту CUREIT и проводим полную проверку системы. На предложения типа «лечить» соглашаемся «да для всех» .
Произведя
все эти действия, и избавившись от вируса, не забудьте установить
качественный антивирус, со свежими антивирусными базами
Источник
Здравствуйте. На форуме у многих много вопросов как избавиться от вируса Neshta. И нашел решение.
И так:
Сначало у Вас не будет запускаться ни одна программа, а будет запускаться окно с таким текстом:
1) Будет писать выберите программу для открытия этого файла.
2) Потом все антивирусы будут блокироваться.
3) При перезапуске компьютера у вас не будет не одного процесса.
Дальше: —–>>>>Как с этим бороться?
1. Скачиваем архив
Cкачать с ######.ru
2 .Открываем архив.
3. Запускаем оба файла .reg
4 .В обоих нажимаем “Да”
5 .Готово!Вирус больше не будет заражать файлы на Вашем компьютере!
6. Главное удаляйте старый антивирус, и скачивайте новый.
7. Далее проверяйте систему на вирусы.
8. После удаляйте все зараженные вирусом файлы.
9. И вирус умер.
P.S – Если кто то думает что я кидаю стиллер, вот вам VirusTotal =)Тот кто не знает что такое вирус Neshta привожу примеры скрины:
Запомните что качать читы нельзя и не нужно, если вы скачаете ваш компьютер будет опасен риску
__________________________________________________ _______________
Как излечится от вируса: Вариант 2. (Сделал лично я)
Технические деталиВредоносная программа, которая находит и заражает исполняемые файлы с файловым расширением “EXE”. Является приложением Windows (PE-EXE файл). Имеет размер 9487286 байт. Написана на Delphi.
Инсталляция
После активации вирус копирует свое тело в корневой каталог Windows под именем svchost.com:%WinDir%svchost.com
Данный файл имеет размер 41472 байта.
md5: BC93F4F527B58419EF42F19DB49F64A8
sha1: 2650A73B61577CFC0C0D80A7F38103D65388D808Предварительно производится поиск и удаление существующего файла “%WinDir%svchost.com”.
Вирус изменяет значения следующего параметра ключа системного реестра:[HKCRexefileshellopencommand]
“(default)” = “%WinDir%svchost.com “%1″ %*”
Таким образом, при запуске всех EXE-файлов в системе будет запускаться тело вируса %WinDir%svchost.com с параметром равным имени программы, которую запускает пользователь.Деструктивная активность
Вирус получает список логических дисков на компьютере пользователя. После чего сканирует найденные диски в поисках исполняемых файлов Windows(PE-EXE), найденные файлы такого типа заражаются вирусом. При этом найденные файлы должны соответствовать критериям:
файл должен быть не меньше 41472 байта и не больше 10000000 байт;
файл не должен находиться в каталогах %WinDir% и %ProgramFiles%;
не заражаются файлы на CD-ROM и на логических дисках A и B;
При заражении вирус записывает в начало файла свое тело и перенаправляет точку входа в программу на тело вируса, оригинальное начала файла переносится в конец файла, при этом часть переносимого блока шифруется.Также вирус создает файл в корневом каталоге Windows под именем “directx.sys”:
%WinDir%directx.sys
Если тело вируса запускается с параметром равным имени программы, которую запускает пользователь,то производится запуск программы, имя которой передается в виде параметра, а полный путь к запущенной программе помещается в файл %WinDir%directx.sys для дальнейшего заражения. При этом соблюдаются вышеуказанные критерии заражаемых файлов. Если был запущен зараженный файл (размер запускаемого файла больше 41472 байта), то после запуска тела вируса, вирус расшифровывает оригинальный файл и сохраняет его во временном каталоге текущего пользователя Windows в каталоге “3582-490” под оригинальным именем:
%Temp%3582-490
после чего оригинальный файл запускается на выполнение. Для контроля уникальности своего процесса в системе вирус создает уникальный идентификатор с именем:
MutexPolesskayaGlush
В теле вируса содержаться следующие строки:
Delphi-the best. *** all the rest. Neshta 1.0 Made in Belarus.
Рекомендации по удалениюЕсли ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
md5: 09CBA414D6EDC9999220D79660C155B8
sha1: 5C4C02F5F84A932CB476480F0343FCCF7F4B393D
Источник
Virus.Win32.Neshta.a
07.06.20122012-06-07T16:26:00+04:00
Alexander Antipov
Вредоносная программа, которая находит и заражает исполняемые файлы с файловым расширением “EXE”.
Технические детали
Вредоносная программа, которая находит и заражает исполняемые файлы с файловым расширением “EXE”. Является приложением Windows (PE-EXE файл). Имеет размер 9487286 байт. Написана на Delphi.
Инсталляция
После активации вирус копирует свое тело в корневой каталог Windows под именем svchost.com:
%WinDir%svchost.com
Данный файл имеет размер 41472 байта.
md5: BC93F4F527B58419EF42F19DB49F64A8
sha1: 2650A73B61577CFC0C0D80A7F38103D65388D808
Предварительно производится поиск и удаление существующего файла “%WinDir%svchost.com”.
Вирус изменяет значения следующего параметра ключа системного реестра:
[HKCRexefileshellopencommand] “(default)” = “%WinDir%svchost.com “%1″ %*”
Таким образом, при запуске всех EXE-файлов в системе будет запускаться тело вируса %WinDir%svchost.com с параметром равным имени программы, которую запускает пользователь.
Деструктивная активность
Вирус получает список логических дисков на компьютере пользователя. После чего сканирует найденные диски в поисках исполняемых файлов Windows(PE-EXE), найденные файлы такого типа заражаются вирусом. При этом найденные файлы должны соответствовать критериям:
- файл должен быть не меньше 41472 байта и не больше 10000000 байт;
- файл не должен находиться в каталогах %WinDir% и %ProgramFiles%;
- не заражаются файлы на CD-ROM и на логических дисках A и B;
При заражении вирус записывает в начало файла свое тело и перенаправляет точку входа в программу на тело вируса, оригинальное начала файла переносится в конец файла, при этом часть переносимого блока шифруется.
Также вирус создает файл в корневом каталоге Windows под именем “directx.sys”:
%WinDir%directx.sys
Если тело вируса запускается с параметром равным имени программы, которую запускает пользователь,то производится запуск программы, имя которой передается в виде параметра, а полный путь к запущенной программе помещается в файл %WinDir%directx.sys для дальнейшего заражения. При этом соблюдаются вышеуказанные критерии заражаемых файлов. Если был запущен зараженный файл (размер запускаемого файла больше 41472 байта), то после запуска тела вируса, вирус расшифровывает оригинальный файл и сохраняет его во временном каталоге текущего пользователя Windows в каталоге “3582-490” под оригинальным именем:
%Temp%3582-490
после чего оригинальный файл запускается на выполнение. Для контроля уникальности своего процесса в системе вирус создает уникальный идентификатор с именем:
MutexPolesskayaGlush
В теле вируса содержаться следующие строки:
Delphi-the best. *** all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм ~цiкавым~ беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама 🙂 Восень – кепская пара… Алiварыя – лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами ( скачать пробную версию ).
md5: 09CBA414D6EDC9999220D79660C155B8
sha1: 5C4C02F5F84A932CB476480F0343FCCF7F4B393D
Подписывайтесь на каналы “SecurityLab” в
Telegram и
Twitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Источник