Как избавится от neshta

Прожектор угроз: Файловый вирус Neshta

Салют, хабровчане! В преддверии старта курса «Реверс-инжиниринг 2.0» хотим поделиться с вами еще одним интересным переводом.

Краткий обзор

Neshta — довольно старый файловый вирус, который до сих пор широко распространен. Изначально он был обнаружен в 2003 году и ранее ассоциировался с вредоносным ПО BlackPOS. Он добавляет вредоносный код в зараженные файлы. В основном эта угроза попадает в среду посредством непреднамеренной загрузки или с помощью других вредоносных программ. Он заражает исполняемые файлы Windows и может атаковать сетевые ресурсы и съемные носители.

В 2018 году Neshta преимущественно ориентировалась на обрабатывающую промышленность, но также атаковала финансовый, потребительский и энергетический секторы. В целях устойчивости в системе Neshta переименовывает себя в svchost.com, а затем изменяет реестр, чтобы он запускался каждый раз при запуске .exe файла. Известно, что эта угроза собирает системную информацию и использует POST запросы для эксфильтрации данных на сервера, контролируемые злоумышленниками. Двоичные файлы Neshta, использованные в нашем анализе, не продемонстрировали поведение или функциональность эксфильтрации данных.

Технический анализ

В этом разделе описываются симптомы заражения Neshta. Мы взяли образцы вируса закачанные на VirusTotal в 2007, 2008 и 2019.

Мы проанализировали файлы со следующими SHA-256 хэшами:

• 29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
• 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
• 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
• a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
• 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
• c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75

Статический анализ файла

Код Neshta скомпилирован с помощью Borland Delphi 4.0. Размер файла обычно составляет 41,472 байта.

Как и любой бинарный файл Delphi, Neshta имеет четыре записываемых (DATA, BSS, .idata и .tls) и три разделяемых секции (.rdata, .reloc и .rsrc):

Рисунок 1. Особенности хедеров секций.

Кроме того, код Neshta демонстрирует любопытные строки — см. рисунок 2 ниже:

“Delphi-the best. F*** off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм

беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама 🙂 Восень- кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]”
(«Delphi — лучший. Остальные идут на***. Neshta 1.0 Сделано в Беларуси. Привет всем

белорус_ким девчонкам. Аляксандр Григорьевич, вам тоже 🙂 Осень — плохая пара… Аливария — лучшее пиво! С наилучшими пожеланиями для Томми Сало. [Ноябрь-2005] ваш [Дедуля Апанас])»

Рисунок 2: Интересные строки в теле вируса

Заражение файлов

Основной особенностью Neshta является файловый заражатель, который ищет .exe файлы на локальных дисках. Neshta нацелен на «.exe» файлы, исключая лишь те, которые содержат в своем коротком пути любую из следующих строк:

• %Temp%
• %SystemRoot% (usually C:\Windows)
• \PROGRA

Сводка процесса заражения описана ниже и на рисунке 3.

1. Считывает 41,472 (0xA200) байта с начала целевого исходного файла.
2. Создает два раздела и выделяет память с атрибутом PAGE_READWRITE в начале и конце исходного файла.
3. Помещает свой вредоносный заголовок и код в начале исходного файла. Записанные данные составляют 41,472 байта.
4. Записывает закодированный исходный заголовок и код в файл, размер которого составляет 41,472 байта.

Эти действия позволяют запускать вредоносный код сразу после запуска зараженного файла:

Рисунок 3: Заражение файла

При запуске зараженного файла исходная программа помещается в %Temp%\3582-490\ и запускается с помощью WinExec API.

Устойчивость

Neshta помещает себя в C:\Windows\svchost.com и устанавливает себя в реестр, используя следующие параметры:

Ключ реестра: HKLM\SOFTWARE\Classes\exefile\shell\open\command
Значение реестра: (Default)
Значение: %SystemRoot%\svchost.com «%1» %*
Это изменение реестра предписывает системе запускать Neshta при каждом запуске .exe-файла. «%1» %* указывает на запущенный файл .exe. Кроме того, Neshta создает именованный мьютекс для проверки существования другого работающего экземпляра:

MutexPolesskayaGlush*.* svchost.com exefile\shell\open\command‹À «%1» %*œ‘@

Еще один внедряемый файл — «directx.sys», который отправляется в %SystemRoot%. Это текстовый файл (а не драйвер ядра), который содержит путь к последнему зараженному файлу для запуска. Он обновляется каждый раз, когда исполняется зараженный файл.

BlackBerry Cylance останавливает Neshta

BlackBerry Cylance использует агентов на основе искусственного интеллекта, обученных обнаружению угроз на миллионах как безопасных, так и небезопасных файлов. Наши автоматизированные агенты безопасности блокируют Neshta, основываясь на множестве атрибутов файлов и вредоносном поведении, вместо того, чтобы полагаться на конкретную подпись файла. BlackBerry Cylance, которая предлагает прогнозное преимущество перед угрозами нулевого дня, обучена и эффективна против новых и известных кибератак. Для получения более подробной информации посетите https://www.cylance.com.

Приложение

Показатели компрометации (IOCs)

• Хэши

o 29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
o 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
o 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
o a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
o 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
o c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75

• Имена файлов

o %SystemRoot%\svchost.com
o %SystemRoot%\directx.sys
o %Temp%\tmp5023.tmp

• C2s/IPs
• Мьютексы

o MutexPolesskayaGlush*.* svchost.com exefile\shell\open\command‹À «%1» %*œ‘@

• Интересные строки

o Delphi-the best. F**k off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм

беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама 🙂 Восень- кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]

Источник

[Virus] Win32.Neshta.A — устраняем последствия

Собрал себе свежую рабочую лошадку работу работать. По характеристикам не самый сахар, но вроде сойдет. Поставил свежую винду семерку запускаю со своей рабочей флешки (которая только для рабочих нужд используется) DriverPack Solution последний и тут начинается интересное 🙂

Начинают ставиться дрова, но при попытке открыть любую другую программу вылетает предложение открыть этот файлик ( .exe ) с помощью чего-либо. Ну быстрый гуглеж (благо со мной всегда мой верный персональный пони Asus K52J с Ubuntu 14.04 LTS на борту) показал, что это вирус и указал даже название — Win32.Neshta . С википедии:

Win32.Neshta — белорусский вирус 2005-го года. Название вируса происходит от белорусского слова “нешта”, означающего “нечто”. Программа является приложением Windows (exe-файл). Написана на Delphi. Размер оригинального вредоносного файла — 41 472 байта. Это файловый вирус — тот тип вируса, который уже не популярен в настоящее время.

В базах антивирусных программ Neshta определяется так:

Суть работы вируса была в следующем: Вирус просто удаляет строку которая отвечает за совместимость фалов *.inc и *.exe ! По этому если у вас на компьютере 2 браузера то проблема решена! Так как вы нажимаете на один пытаясь его открыть,и вам выходит окошко открыть с помощью и выбираете другой браузер!

Примерно таким способом его можно вылечить:

1. Открываем Regedit от имени Администратора (желательно из безопасного режима);
2. Ищем вот эти пути:

и пишем значения по умолчанию в обоих ключах:

После чего идем в директорию C:\Windows\ и удаляем нахрен волшебно появившийся файлик svchost.com . Главное не очкуем. Он там один такой и ничего лишнего вы не удалите. После чего можно проверить (из безопасного же режима) систему каким-нибудь Dr.Web CureIt или AVZ , тут кому что больше нравится. После смело грузимся в нормальном режиме и радуемся тому, как мы самостоятельно удалили целый вирус десятилетней давности.

ЗЫЖ Обязательно пользуйтесь нормальным антивирусом и фаерволом если вы виндузятник 🙂

Источник

Virus.Win32.Neshta.a

Вредоносная программа, которая находит и заражает исполняемые файлы с файловым расширением «EXE».

Технические детали

Вредоносная программа, которая находит и заражает исполняемые файлы с файловым расширением «EXE». Является приложением Windows (PE-EXE файл). Имеет размер 9487286 байт. Написана на Delphi.

Инсталляция

После активации вирус копирует свое тело в корневой каталог Windows под именем svchost.com:

Данный файл имеет размер 41472 байта.

md5: BC93F4F527B58419EF42F19DB49F64A8
sha1: 2650A73B61577CFC0C0D80A7F38103D65388D808

Предварительно производится поиск и удаление существующего файла «%WinDir%\svchost.com».

Вирус изменяет значения следующего параметра ключа системного реестра:

Таким образом, при запуске всех EXE-файлов в системе будет запускаться тело вируса %WinDir%\svchost.com с параметром равным имени программы, которую запускает пользователь.

Деструктивная активность

Вирус получает список логических дисков на компьютере пользователя. После чего сканирует найденные диски в поисках исполняемых файлов Windows(PE-EXE), найденные файлы такого типа заражаются вирусом. При этом найденные файлы должны соответствовать критериям:

• файл должен быть не меньше 41472 байта и не больше 10000000 байт;
• файл не должен находиться в каталогах %WinDir% и %ProgramFiles%;
• не заражаются файлы на CD-ROM и на логических дисках A и B;

При заражении вирус записывает в начало файла свое тело и перенаправляет точку входа в программу на тело вируса, оригинальное начала файла переносится в конец файла, при этом часть переносимого блока шифруется.

Также вирус создает файл в корневом каталоге Windows под именем «directx.sys»:

Если тело вируса запускается с параметром равным имени программы, которую запускает пользователь,то производится запуск программы, имя которой передается в виде параметра, а полный путь к запущенной программе помещается в файл %WinDir%\directx.sys для дальнейшего заражения. При этом соблюдаются вышеуказанные критерии заражаемых файлов. Если был запущен зараженный файл (размер запускаемого файла больше 41472 байта), то после запуска тела вируса, вирус расшифровывает оригинальный файл и сохраняет его во временном каталоге текущего пользователя Windows в каталоге «3582-490» под оригинальным именем: после чего оригинальный файл запускается на выполнение. Для контроля уникальности своего процесса в системе вирус создает уникальный идентификатор с именем: В теле вируса содержаться следующие строки:

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами ( скачать пробную версию ).

md5: 09CBA414D6EDC9999220D79660C155B8
sha1: 5C4C02F5F84A932CB476480F0343FCCF7F4B393D

Источник

Как удалить вирус Neshta?

Вирус neshta появился в 2005 году в Белоруссии. То, что это первый белорусский вирус говорит само название – «neshts», переводится как нечто или что-то. Вирус не настолько популярный, как все его собратья. Вирус neshta, по своей структуре простой. Дальше вы узнаете: что это за вирус и как бороться с этим зверем.

Вирус neshta редкий и довольно опасный. В современном мире компьютеров антивирусы распознают как Virus.Win32.Neshta. Фактический, вирус после попадания на компьютер, не выявляет себя. Вирус в первые месяцы набрал очень большие обороты.

Вирус win32 neshta — неприятный вирус, который попадает в систему незаметно, и заражает исполняемые файлы. Эта вредоносная программа, может проникнуть в компьютер и запускаться при открытии инфицированных exe-приложений. У пользователя сразу встанет вопрос: как удалить вирус neshta без сторонней помощи. Но без знаний, он будет видеть, как вирус хозяйничает на компьютере и, не обращая никакого внимания, будет продолжать работать за компьютером.

Цель вируса – предоставить тайный доступ к зараженной системе своим разработчикам. Хакеры используют вирус, чтобы войти на зараженный компьютер пользователя, тем самым получая конфиденциальную финансовую информацию, имена пользователей и пароли. Вирус также может сделать для других угроз и вредоносных программ доступ в систему.

Действия вируса довольно простое. Сначала он, заразит файл «svchost» в системе, находящего в папке Windows: «C:\WINDOWS» или «C:\WINNT» и замаскироваться под него. Файл «svchost» является системным файлом и отвечает за загрузку программ и служб операционной системы, которые запускаются вместе с загрузкой windows. Вирус будет запускаться при каждом включении компьютера.
Так как этот вирус блокирует файлы с разрешением «exe», то рекомендуется удалить вирус и очищать систему из-под Dos.

Для обороны операционной системы и предотвращения разнесения вируса, следует незамедлительно просканировать на опасные инфекции антивирусными программами. Безопасность достигается путем использования лицензионных антивирусов и фаерволов. Они не только помогут в лечение вируса neshta, но и адекватно защитят систему от подобных атак в будущем.

Как не странно, но большинство антивирусных программ просто удаляют зараженные файлы. Но тут на помощь приходить замечательная программа под названием CUREIT. Про эту программу много написано на просторах интернета, но все же. Вы ее можете скачать с официального сайта, и бесплатно воспользоваться. Но есть один нюанс, для нее понабиться файл реестра. Чтобы его создать, нужно в любом текстовом редакторе написать строки:

Примечание: пустая строка после REGEDIT4 — обязательна.

Сохраните под расширением «.reg» и запустите. После запустите саму программу и просканируйте систему. Проведя все вышеперечисленные действия, не забудьте еще раз просканировать систему, но уже обычным антивирусом.

Источник