Часто ли Вы проверяетесь на вирусы? Я - нечасто. Но когда это происходит, обязательно выявляется один, безобидный такой, с которым-то и жить в общем-то не трудно, просто чего-то он там делает сам втихаря... Ну и пусть делает, лишьбы никого не трогал. У меня завелся такой, и жил себе, пока не стал потихоньку кушать екзешники с последствиями. Кушал, кушал, а мне все некогда было заняться машиной. В итоге вчера поставил NOD32, просканил систему, вычистил вирь. Привычка у меня - никогда не ставить антивирь, до тех пор, пока сам не увижу, что завелось что-то неладное. А если "ладное" - пусть себе живет, пока не приносит ничего плохого с собой. Вирус назывался Neshta A, наверное я его подхватил вместе с инсталлом какой-нибудь проги, которую слил из локальной сети.
Вот описание вируса, не такой уж он и безобидный, как мне казалось:
Virus.Win32.Neshta.a
Детектирование добавлено
- Технические детали
- Деструктивная активность
Рекомендации по удалению
| Технические детали |
Вредоносная программа, которая находит и заражает исполняемые файлы. Программа
является приложением Windows (PE EXE-файл). Написана на Delphi. Размер оригинального
вредоносного файла — 41 472 байта.
Инсталляция
В корневом каталоге Windows (%WINDIR%) производится поиск и удаление файла
svchost.com. После этого создается новый файл svchost.com, содержащий в себе
тело вируса.
В системном реестре создается следующая запись:
@="%WINDIR%\svchost.com \"%1\" %*"
Таким образом, все EXE-файлы в системе при запуске будут вызывать тело вируса,
который и будет производить их дальнейший запуск.
Прочее
В теле вируса содержатся следующие строки:
Delphi-the best.
**** off all the rest.
Neshta 1.0
Made in Belarus.
| Деструктивная активность |
При запуске вирус расшифровывает текстовые строки внутри себя, проверяет,
является ли его длина равной 41472 байта и, если она больше (запущен зараженный
файл, а не тело вируса), то происходит вызов функции расшифровки и запуска файла.
В функции расшифровки и запуска файла вирус производит расшифровку части тела
программы, которая была зашифрована после внедрения тела вируса в программу.
Если по каким-то причинам вирусу не получается изменить запускаемый файл, то
во временном каталоге Windows (%TEMP%) создается папка 3582_490 куда расшифровывается
уже чистый исполняемый файл.
После запуска производится попытка заражения файлов перечисленных в файле
%WINDIR%\directx.sys, если таковой присутствует.
После этого производится проверка количества параметров, переданных при вызове
файла. Если параметры присутствуют и окончание у исполняемого файла .com, то
производится запуск файла, имя которого передается в виде параметра, а его полное
имя помещается в файл %WINDIR%\directx.sys для дальнейшего заражения.
Дальше происходит регистрация вируса в системе (создание и регистрация файла
svchost.com).
После этого вирус создает в системе уникальный идентификатор «MutexPolesskayaGlush»
для определения своего присутствия в системе.
После чего выполняются следующие действия:
- вирус получает список дисков, которые не являются FDD и CD-ROM;
- производится поиск файлов по найденным дискам, причем файлы должны соответствовать
заданным критериям:- файлы должны быть не из каталогов %Program Files% и %WINDIR%;
- не заражаются файлы на логических дисках A: и B:;
- размер фалов должен быть не меньше 41473 и не больше 10000000 байт.
- файлы должны быть не из каталогов %Program Files% и %WINDIR%;
Вирус правильно обрабатывает файлы с атрибутом «только чтение».
После заражения он восстанавливает начальные атрибуты файла.
| Рекомендации по удалению |
- В системном реестре изменить значение следующего ключа:[HKCR\exefile\shell\open\command]
c%WINDIR%\svchost.com "%1" %*
на"%1" %* - Удалить файл %WINDIR%\svchost.com
- Произвести полную проверку компьютера и имеющиеся флоппи-диски
Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Информация взята из энциклопедии вирусов
Так что делайте выводы, господа. Пользуйтесь антивирем, как бы он не тормозил систему. Но тем не менее. Иногда полезно хотябы ставить, проверять им и сносить.
Пострадало у меня прилично файла, что самое интересное - как-то урезались права юзера на машине. Админские остались, а вот права юзера вообще пошли втопку. То бишь ничего практически не запускается под обычным юзером, запускается только через админа. В общем, нелюблю такие ситуации. Винда стала хромать, но вылечил. Думаю это из-за недостатка парочки системных файлов, зараженных.
Проверяйтесь на вири, хотябы нечасто.
Что интересно - проверялся ещё до этого NanoScan'ом - никаких вирей не нашел, стояла Panda - тоже ничего не нашла. Вывод: NOD32 рулит. Только... если бы он ещё умел лечить было бы вообще здоровски.
