Virus.Win32. Neshta.a
Вредоносная программа, которая находит и заражает исполняемые файлы
Вредоносная программа, которая находит и заражает исполняемые файлы. Программа является приложением Windows (PE EXE-файл). Написана на Delphi. Размер оригинального вредоносного файла — 41 472 байта.
Инсталляция
В системном каталоге Windows (%WINDIR%) производится поиск и удаление файла svchost.com. После этого создается новый файл svchost.com, содержащий в себе тело вируса.
В системном реестре создается следующая запись:
@="%WINDIR%\svchost.com \"%1\" %*"
Таким образом, все EXE-файлы в системе при запуске будут вызывать тело вируса, который и будет производить их дальнейший запуск.
Прочее
В теле вируса содержатся следующие строки:
Delphi-the best.
**** off all the rest.
Neshta 1.0
Made in Belarus.
| name="doc3">Деструктивная активность |
При запуске вирус расшифровывает текстовые строки внутри себя, проверяет, является ли его длина равной 41472 байта и, если она больше (запущен зараженный файл, а не тело вируса), то происходит вызов функции расшифровки и запуска файла.
В функции расшифровки и запуска файла вирус производит расшифровку части тела программы, которая была зашифрована после внедрения тела вируса в программу. Если по каким-то причинам вирусу не получается изменить запускаемый файл, то во временном каталоге Windows (%TEMP%) создается папка 3582_490 куда расшифровывается уже чистый исполняемый файл.
После запуска производится попытка заражения файлов перечисленных в файле %WINDIR%\directx.sys, если таковой присутствует.
После этого производится проверка количества параметров, переданных при вызове файла. Если параметры присутствуют и окончание у исполняемого файла .com, то производится запуск файла, имя которого передается в виде параметра, а его полное имя помещается в файл %WINDIR%\directx.sys для дальнейшего заражения.
Дальше происходит регистрация вируса в системе (создание и регистрация файла svchost.com).
После этого вирус создает в системе уникальный идентификатор «MutexPolesskayaGlush» для определения своего присутствия в системе.
После чего выполняются следующие действия:
- вирус получает список дисков, которые не являются FDD и CD-ROM;
- производится поиск файлов по найденным дискам, причем файлы должны соответствовать
заданным критериям:
- файлы должны быть не из каталогов %Program Files% и %WINDIR%;
- не заражаются файлы на логических дисках A: и B:;
- размер фалов должен быть не меньше 41473 и не больше 10000000 байт.
Вирус правильно обрабатывает файлы с атрибутом «только чтение». После заражения он восстанавливает начальные атрибуты файла.
Устали от того, что Интернет знает о вас все?