вирус нешта что это
Прожектор угроз: Файловый вирус Neshta
Салют, хабровчане! В преддверии старта курса «Реверс-инжиниринг 2.0» хотим поделиться с вами еще одним интересным переводом.
Краткий обзор
Neshta — довольно старый файловый вирус, который до сих пор широко распространен. Изначально он был обнаружен в 2003 году и ранее ассоциировался с вредоносным ПО BlackPOS. Он добавляет вредоносный код в зараженные файлы. В основном эта угроза попадает в среду посредством непреднамеренной загрузки или с помощью других вредоносных программ. Он заражает исполняемые файлы Windows и может атаковать сетевые ресурсы и съемные носители.
Технический анализ
В этом разделе описываются симптомы заражения Neshta. Мы взяли образцы вируса закачанные на VirusTotal в 2007, 2008 и 2019.
Мы проанализировали файлы со следующими SHA-256 хэшами:
Статический анализ файла
Код Neshta скомпилирован с помощью Borland Delphi 4.0. Размер файла обычно составляет 41,472 байта.
Рисунок 1. Особенности хедеров секций.
Кроме того, код Neshta демонстрирует любопытные строки — см. рисунок 2 ниже:
“Delphi-the best. F*** off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм
беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама 🙂 Восень- кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]”
(«Delphi — лучший. Остальные идут на***. Neshta 1.0 Сделано в Беларуси. Привет всем
белорус_ким девчонкам. Аляксандр Григорьевич, вам тоже 🙂 Осень — плохая пара… Аливария — лучшее пиво! С наилучшими пожеланиями для Томми Сало. [Ноябрь-2005] ваш [Дедуля Апанас])»
Рисунок 2: Интересные строки в теле вируса
Заражение файлов
Сводка процесса заражения описана ниже и на рисунке 3.
Эти действия позволяют запускать вредоносный код сразу после запуска зараженного файла:
Рисунок 3: Заражение файла
При запуске зараженного файла исходная программа помещается в %Temp%\3582-490\ и запускается с помощью WinExec API.
Устойчивость
Neshta помещает себя в C:\Windows\svchost.com и устанавливает себя в реестр, используя следующие параметры:
MutexPolesskayaGlush*.* svchost.com exefile\shell\open\command‹À «%1» %*œ‘@
Еще один внедряемый файл — «directx.sys», который отправляется в %SystemRoot%. Это текстовый файл (а не драйвер ядра), который содержит путь к последнему зараженному файлу для запуска. Он обновляется каждый раз, когда исполняется зараженный файл.
BlackBerry Cylance останавливает Neshta
BlackBerry Cylance использует агентов на основе искусственного интеллекта, обученных обнаружению угроз на миллионах как безопасных, так и небезопасных файлов. Наши автоматизированные агенты безопасности блокируют Neshta, основываясь на множестве атрибутов файлов и вредоносном поведении, вместо того, чтобы полагаться на конкретную подпись файла. BlackBerry Cylance, которая предлагает прогнозное преимущество перед угрозами нулевого дня, обучена и эффективна против новых и известных кибератак. Для получения более подробной информации посетите https://www.cylance.com.
Приложение
Показатели компрометации (IOCs)
беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама 🙂 Восень- кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]
Virus.Win32.Neshta.a
Вредоносная программа, которая находит и заражает исполняемые файлы с файловым расширением «EXE».
Технические детали
Вредоносная программа, которая находит и заражает исполняемые файлы с файловым расширением «EXE». Является приложением Windows (PE-EXE файл). Имеет размер 9487286 байт. Написана на Delphi.
Инсталляция
После активации вирус копирует свое тело в корневой каталог Windows под именем svchost.com:
Данный файл имеет размер 41472 байта.
md5: BC93F4F527B58419EF42F19DB49F64A8
sha1: 2650A73B61577CFC0C0D80A7F38103D65388D808
Предварительно производится поиск и удаление существующего файла «%WinDir%\svchost.com».
Вирус изменяет значения следующего параметра ключа системного реестра:
Таким образом, при запуске всех EXE-файлов в системе будет запускаться тело вируса %WinDir%\svchost.com с параметром равным имени программы, которую запускает пользователь.
Деструктивная активность
Вирус получает список логических дисков на компьютере пользователя. После чего сканирует найденные диски в поисках исполняемых файлов Windows(PE-EXE), найденные файлы такого типа заражаются вирусом. При этом найденные файлы должны соответствовать критериям:
При заражении вирус записывает в начало файла свое тело и перенаправляет точку входа в программу на тело вируса, оригинальное начала файла переносится в конец файла, при этом часть переносимого блока шифруется.
Также вирус создает файл в корневом каталоге Windows под именем «directx.sys»:
Если тело вируса запускается с параметром равным имени программы, которую запускает пользователь,то производится запуск программы, имя которой передается в виде параметра, а полный путь к запущенной программе помещается в файл %WinDir%\directx.sys для дальнейшего заражения. При этом соблюдаются вышеуказанные критерии заражаемых файлов. Если был запущен зараженный файл (размер запускаемого файла больше 41472 байта), то после запуска тела вируса, вирус расшифровывает оригинальный файл и сохраняет его во временном каталоге текущего пользователя Windows в каталоге «3582-490» под оригинальным именем: после чего оригинальный файл запускается на выполнение. Для контроля уникальности своего процесса в системе вирус создает уникальный идентификатор с именем: В теле вируса содержаться следующие строки:
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
md5: 09CBA414D6EDC9999220D79660C155B8
sha1: 5C4C02F5F84A932CB476480F0343FCCF7F4B393D
Неприятно познакомиться: как появились вирусы и почему в России их меньше, чем в Китае
В любой энциклопедии написано: «вирус» в переводе с латинского языка означает « яд». С тех пор как в XIX веке исследователи впервые столкнулись с заражением одного организма другим, знания о вирусах множились. К настоящему времени ученые изучили порядка пяти тысяч видов вирусов, но сказать, что науке доподлинно известно и с чем она имеет дело, нельзя. В двадцать первом веке все еще остаются вопросы, на которые у ученых-вирусологов нет ответов. Ведь количество неизученных вирусов, которые «свободно парят» вокруг нас, находятся в воде, земле, в организмах животных, в стеблях растений, исчисляется миллионами!
— За всю историю исследований в основном изучались вирусы человека и сельскохозяйственных животных, — поясняет «Вечерке» вирусолог, директор Института медицинской паразитологии, тропических и трансмиссивных заболеваний им. Е. И. Марциновского Сеченовского университета Александр Лукашев. — А вирусы есть у каждого вида живых существ на Земле, в том числе у грибов, мхов, бактерий, простейших. И многие могут перейти к человеку.
Когда и при каких условиях тому или иному вирусу приспичит активизироваться — вопрос, не поддающийся прогнозам. Точнее, «паразиты» бомбардируют все живое постоянно. Вирусная атака — это процесс в природе непрекращающийся. Ведь вирус не бактерия и не микроорганизм. Это фрагмент генетической информации, упакованный в белковую оболочку. У него нет клетки, а значит, вне живого организма он как бы не живет, а находится в замершем состоянии. Поэтому если вы спросите у специалиста, живые вирусы или нет, он ответит уклончиво: как бы нет, но в общем-то да. Делиться самостоятельно вирус не может, и чужая клетка нужна ему, чтобы жить.
— Любая живая информация старается выжить в биосфере, — говорит вирусолог Александр Лукашев. — Главная эволюционная задача вируса — не уничтожить живую клетку, а, используя ее ресурсы, размножиться как можно в большем количестве своих копий. У вируса нет задачи быть «плохим». Наоборот, «хороший» вирус имеет преимущества. Например, вирус герпеса большинству людей практически не наносит вреда. Им заражены все, он распространен повсеместно, и свою функцию — максимально размножиться — он выполняет. А, скажем, вирус Эболы убивает примерно половину своих жертв, и в том числе и поэтому он не может размножиться в популяции человека. С точки зрения эволюции убивать своего носителя вирусу невыгодно. Клеткам живых организмов приходится держать глухую оборону практически постоянно. Но человек и не знает, что находится под обстрелом фрагментов генетической информации, потому что в подавляющем большинстве случаев клетки самостоятельно разбираются с захватчиком, не допуская заражения. Только с воздухом мы вдыхаем едва ли не ежесекундно десятки вирусов, и ничего.
— Вирусы редко переходят между видами нечасто, — говорит вирусолог Александр Лукашев. — Скажем, вирусы от растений к животным переходят, наверное, раз в один миллион лет. Бомбардировка новых видов происходит постоянно, но чаще всего безуспешно. Легче перейти к близкому виду. Например, от приматов к человеку вирусы переходят много раз в год. От млекопитающих — примерно раз в 10 лет. Ту же Эболу человек подхватывает от летучих лисиц. И вспомним свиной грипп и другие «болячки», перешедшие от животных. Случаи могут регистрироваться, например, и два года подряд, а потом 20 лет будет затишье, но я говорю о средней периодичности. Но на каждый успешный переход приходится, условно, миллион безуспешных.
— Скученность населения и, скажем так, очень близкий контакт между людьми и животными — в Китае совпали все условия. Из-за особенностей пищевых рынков и, возможно, более высокой восприимчивости населения «чужой» вирус «зацепился», а дальше из-за высокой плотности китайского населения смог распространиться, — рассуждает вирусолог Александр Лукашев. — У нас в стране совсем другие условия, хотя известно, что зараженные примерно такими же опасными вирусами летучие мыши обитают на юге России. Кроме того, мы летучих мышей и панголинов не едим, не разделываем и на рынках не продаем, а значит, и попыток перейти от животного к человеку их вирус может предпринимать значительно меньше. Гипотетически же к человеку может перейти огромное число вирусов — умножьте число всех видов млекопитающих на 1000 и примерно узнаете, сколько. Но если нет условий, выгодных для распространения заразы, бояться нечего.
Вместе с тем наука признала, что вирусы — это наследие древнего мира, существовавшего до появления первой живой клетки, четыре миллиарда лет назад. Более того, из вирусов или их остатков по большей части состоит геном человека. Это значит, что они были основой развития жизни на Земле. Доказано, что человек, как млекопитающее, обязан существованием именно им, поскольку благодаря вирусам у наших предков начала формироваться плацента. Как? Они привнесли в человеческий геном белок, отвечающий за ее функцию. Кроме того, вирусы сильно повысили эффективность эволюции. Они переносили генетическую информацию намного эффективнее, чем это делалось только в ходе естественного размножения. То есть удачные гены они передавали не потомству вида, а сразу в новый организм.
Вирусы мутируют. Ученые говорят, что у многих из них каждый новый геном имеет дополнительную мутацию. Изменяется вирус иногда в течение нескольких часов. Внутри одной клетки, внутри одного цикла размножения одинаковых вирусов нет! Чтобы иметь возможность приспособиться к новым условиям, вирус меняется, производя в популяции самые разные варианты. Мутация для вирусов — обязательная часть их жизненного цикла. Собственный геном вирусов в миллион раз меньше человеческого, и чтобы с нами конкурировать, они мутируют, создавая множество вариантов, которые могут «пригодиться» в разных условиях.
Вирус Эпштейна-Барра
Что такое вирус Эпштейна-Барра?
Вирус Эпштейна-Барра — это человеческий герпес-вирус 4-го типа, который считается главным виновником развития инфекционного мононуклеоза и опухолей, в частности лимфомы Беркитта. Это самый распространенный на планете вирус, носительство достигает 95% среди населения Земного шара.
Описание заболевания
При любом ослаблении иммунитета или воздействии вредных факторов вирус становится причиной таких заболеваний:
Симптомы вируса Эпштейна-Барра
Классическое проявление поражения вирусом Эпштейна-Барра — инфекционный мононуклеоз. У маленьких детей заболевание никак не проявляется, а вот у детей старшего возраста и взрослых развивается характерная клиническая картина.
Период от заражения до клинических проявлений или инкубация длится месяц-полтора. Далее появляется триада симптомов: лихорадка, воспаление горла и увеличение лимфатических узлов. Температура тела высоко поднимается вечером, а днем нормальная, и такая ситуация продолжается около 3-х недель. Воспаление горла (фарингит) протекает тяжело, с сильной болью. Поражаются шейные лимфатические узлы, как правило, симметрично, но может быть увеличение лимфоузлов по всему телу.
С течением времени присоединяется увеличение печени и селезенки, изменяется состав крови.
В течение месяца или немногим более клиническая картина угасает, заболевание заканчивается полным клиническим выздоровлением, однако вирус остается в организме навсегда.
Редко бывают осложнения: неврологические симптомы в виде энцефалита или менингита, разрыв селезенки, сужение дыхательных путей.
Другие проявления инфицирования в виде опухолей, рассеянного склероза или синдрома хронической усталости протекают по своим законам. Связь заболевания с вирусом обнаруживается только при углубленном целенаправленном обследовании.
Причины вируса Эпштейна-Барра
Любой вирус — это внутриклеточный паразит, который не может существовать вне человеческого тела. Проникает вирус через слизистые оболочки ротоглотки и верхних дыхательных путей. Момент заражения установить невозможно, поскольку никаких клинических проявлений нет. Недомогание бывает только у крайне ослабленных больных. Вирус попадает в кровь и лимфу, постоянно находится в нервной ткани.
Паразитирование вируса провоцирует ускоренное деление клеток, которые становятся источником опухолей различной локализации. Азиаты, зараженные вирусом, болеют раком носоглотки, жители Африки — опухолями яичников и почек, европейцы переносят вторжение вируса преимущественно как тяжелую ОРВИ.
При других заболеваниях, перечисленных выше, вирус обнаруживается почти всегда, но продолжаются дискуссии о его роли в формировании данных болезней.
Вирусы мутируют и меняются. Как нам с ними жить?
Каждую осень, а потом и зиму с весной мы сталкиваемся с ростом заболеваемости ОРВИ, включая грипп. О том, почему так происходит и что с этим делать, мы беседуем с профессором кафедры молекулярной фармакологии и радиобиологии им. академика Сергеева РНИМУ им. Пирогова, профессором кафедры фармакологии Первого МГМУ им. Сеченова Еленой Каревой.
Елена Николаевна, почему мы каждый раз удивляемся этим вспышкам?
На самом деле не всё так неожиданно. ОРВИ сопровождает человечество на протяжении всей его эволюции. По всей видимости, так будет и дальше – проблема в целом не исчезнет. И медицинская общественность к сезону повышенной заболеваемости готовится неизменно. Против гриппа существуют вакцины, но не все хотят ими пользоваться. Мало внимания уделяется профилактике. Страдают прежде всего группы риска: дети, старики, люди с иммунодефицитом, хроническими инфекциями, эндокринными заболеваниями, те, кто постоянно контактирует с носителями инфекции.
В чём основная опасность вирусных инфекций?
Периодически появляются новые штаммы и виды вирусов. Успевают ли учёные следить за ними?
Какие способы лечения ОРВИ сейчас рекомендуют врачи?
Противовирусные препараты, воздействующие на белки вирусов напрямую. Хорошо известен осельтамивир, но он действует только на вирусы гриппа. Точно определить какой тип вирусов вызвал ОРВИ в клинической повседневной практике не представляется возможным, поэтому нужны препараты широкого спектра действия.
Насколько необходимы иммунномодуляторы при гриппе и ОРВИ?
Вирусы сами отличные стимуляторы иммунитета, больше нужны препараты, обладающие противовирусной активностью с дополнительными противовоспалительными свойствами. Сейчас такой подход входит в стратегию
Есть ли выход?
В аптеках множество препаратов для лечения ОРВИ, но проблема не становится менее острой. Почему?
К одним из них выработалась резистентность, другие действуют только на иммунитет, а в силу того, что он у всех разный, ответ тоже может быть непредсказуемым. Нужны новые противовирусные препараты. И они уже появляются. Наибольшее внимание у научного сообщества вызывают препараты, которые напрямую борются с вирусами гриппа и ОРВИ, препятствуя проникновению вирусов в клетки. Из новых современных молекул с такими свойствами, интерес вызывает энисамия йодид, который известен как Нобазит. Во время гриппа и ОРВИ такой препарат может способствовать, сокращению периода болезни, снижению острых клинических проявлений вирусной интоксикации, усилению сопротивляемости к вирусным инфекциям, и дополнительно оказывать противовоспалительное действие.
Какие способы профилактики ОРВИ Вы рекомендуете?
Сегодня инфекционисты уверены, что ОРВИ передаётся преимущественно контактным, а не воздушно-капельным путём. Поэтому рекомендую профилактические прививки от гриппа, перчатки и маски в общественном транспорте, постоянно мыть руки не менее 45 секунд с мылом. Если вы заболели – немедленно вызывайте врача. И никакого самолечения!