Virus.Win32. Neshta.a

Вредоносная программа, которая находит и заражает исполняемые файлы

Вредоносная программа, которая находит и заражает исполняемые файлы. Программа является приложением Windows (PE EXE-файл). Написана на Delphi. Размер оригинального вредоносного файла — 41 472 байта.

Инсталляция

В системном каталоге Windows (%WINDIR%) производится поиск и удаление файла svchost.com. После этого создается новый файл svchost.com, содержащий в себе тело вируса.

В системном реестре создается следующая запись:

[HKCR\exefile\shell\open\command]
 @="%WINDIR%\svchost.com \"%1\" %*"

Таким образом, все EXE-файлы в системе при запуске будут вызывать тело вируса, который и будет производить их дальнейший запуск.

Прочее

В теле вируса содержатся следующие строки:

Delphi-the best.
**** off all the rest.
Neshta 1.0
Made in Belarus.
name="doc3">Деструктивная активность

При запуске вирус расшифровывает текстовые строки внутри себя, проверяет, является ли его длина равной 41472 байта и, если она больше (запущен зараженный файл, а не тело вируса), то происходит вызов функции расшифровки и запуска файла.

В функции расшифровки и запуска файла вирус производит расшифровку части тела программы, которая была зашифрована после внедрения тела вируса в программу. Если по каким-то причинам вирусу не получается изменить запускаемый файл, то во временном каталоге Windows (%TEMP%) создается папка 3582_490 куда расшифровывается уже чистый исполняемый файл.

После запуска производится попытка заражения файлов перечисленных в файле %WINDIR%\directx.sys, если таковой присутствует.

После этого производится проверка количества параметров, переданных при вызове файла. Если параметры присутствуют и окончание у исполняемого файла .com, то производится запуск файла, имя которого передается в виде параметра, а его полное имя помещается в файл %WINDIR%\directx.sys для дальнейшего заражения.

Дальше происходит регистрация вируса в системе (создание и регистрация файла svchost.com).

После этого вирус создает в системе уникальный идентификатор «MutexPolesskayaGlush» для определения своего присутствия в системе.

После чего выполняются следующие действия:

  • вирус получает список дисков, которые не являются FDD и CD-ROM;
  • производится поиск файлов по найденным дискам, причем файлы должны соответствовать заданным критериям:
    • файлы должны быть не из каталогов %Program Files% и %WINDIR%;
    • не заражаются файлы на логических дисках A: и B:;
    • размер фалов должен быть не меньше 41473 и не больше 10000000 байт.

Вирус правильно обрабатывает файлы с атрибутом «только чтение». После заражения он восстанавливает начальные атрибуты файла.