Белорусский вирус 2005-го года. Название вируса происходит от белорусского слова "нешта", означающего "нечто". Это файловый вирус — тот тип вируса, который уже не популярен в настоящее время

Win32.Neshta

Технические детали

Вредоносная программа, которая находит и заражает исполняемые файлы с файловым расширением "EXE". Является приложением Windows (PE-EXE файл). Имеет размер 9487286 байт. Написана на Delphi.

Симптомы вируса

вы пытаетесь запустить программу или игру, но ничего не происходит. Некоторые пользователи пытаются очень быстро и очень много кликать левой клавишей мыши — но безрезультатно. Даже выделение ярлыка и нажатие на клавиатуре клавише [Enter] на могает. Любой файл с расширением .exe стал больше на 41472 байт. Или ваш антивирус заругался, мол «Nesta» внутри

Заражение вирусом

в папке Windows, вирус Neshta находит и удаляет файл svchost.com, и создает новый файл с тем- же именем ... но это уже файл с телом нашего вируса.

В реестре создается запись:
[HKCR\exefile\shell\open\command]
@="%WINDIR%\svchost.com \"%1\" %*"

Таким образом, все exe-файлы в системе при запуске будут вызывать новоявленный svchost.com, который и будет запускать вирус. Сам вирус будет искать файлы с расширением exe, и заражать их добавляя свой вредоносный код к ним, тем самым увеличивая размер файла на уже сказанное выше количество байт (41472 байта)

В базах антивирусных программ Neshta определяется так:

• Virus.Win32.Neshta — Касперский
• Win32.HLLP.Neshta — Dr. Web
• Win32.Neshta — NOD32
• Win32.Neshuta — Symantec
• Win32.Apanas — Avast

Text

Послание автора

Известно две версии вируса — «а» и «b». Версия «a» содержит в себе послание автора следующего содержания:

«Delphi-the best. Fuck off all the rest. Neshta 1.0. Made in Belarus. Прывiтанне ўсiм ~цiкавым~ беларус_кiм дзяўчатам. Аляксандр Рыгоравiч, вам таксама. Восень — кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]»

Текст составлен частично на белорусском, частично на английском языках. Перевод: « Делфи - лучший. Остальные пусть убираются [примерный цензурированный перевод]. Привет всем ~интересным~ белорусским девушкам. Александр Григорьевич, вам также. Осень — плохая пора. Оливария — лучшее пиво. Наилучшие пожелания Томми Сало».

Необходимо пояснить, что Делфи— это язык программирования, под Александром Григорьевичем, вероятно, имеется в виду президент Беларуси Лукашенко, «Оливария» — марка белорусского пива, Томми Сало — вратарь сборной Швеции по хоккею, в результате ошибки которого в четвертьфинальной игре на зимней олимпиаде 2002 года в Солт Лейк Сити сборная Беларуси смогла выйти в полуфинал.

Лечение и удаление

Использовать популярные антивирусы для сканирования и удаления. Если же установить антивирус не удаётся, воспользоваться запуском системы в безопасном режиме и запустить утилиту Dr. Web CureIt, с измененным расширением .exe на .com, после чего провести полную проверку системы. После того, как вирус будет удален, изменить ветку в реестре HKCR\exefile\shell\open\command с «%Windows%\svchost.com „%1“ %*» на «„%1“ %*».Если вместо "1" поставить "0" exe файлы перестанут запускаться.

При обнаружении вируса антивирус может потребовать удаления вируса, тем самым файл .exe будет удален, рекомендуется использовать лечение файла, чтобы сохранить .exe файл для дальнейшего использования.

Интересный факт

В 2007-м году широкую огласку получил случай заражения вирусом Neshta всего компьютерного парка крупного белорусского банка «Технобанк», в результате которого клиенты банка на протяжении нескольких суток не могли проводить денежные операции. Сообщение о данном инциденте появилось в телевизионных новостях белорусского канала «ОНТ»

Интересный факт

Правоохранительные органы Беларуси в 2006 году заявили о намерении найти и привлечь к ответственности автора вредоносного кода, однако до сих пор имя автора Neshta неизвестно.