Virus.Win32.Neshta.a
Wirus szuka w folderze systemu Windows pliku svchost.com i usuwa go.
Nast臋pnie szkodnik tworzy nowy plik svchost.com zawieraj膮cy zainfekowany kod i tworzy w rejestrze systemowym nast臋puj膮cy klucz:
@="%WINDIR%svchost.com "%1" %*"
W ten spos贸b wirus zapewnia sobie uruchamianie wraz z ka偶dym startem systemu operacyjnego.
W kodzie robaka zapisane s膮 nast臋puj膮ce teksty:
Delphi-the best. **** off all the rest. Neshta 1.0 Made in Belarus.
Po uruchomieniu Neshta.a podejmuje pr贸b臋 zainfekowania wszystkich plik贸w wymienionych w %WINDIR%direct.sys – je偶eli taki plik istnieje.
Nast臋pnie wirus sprawdza ile parametr贸w zosta艂o przekazanych podczas wywo艂ania pliku. Je偶eli parametry znajduj膮 si臋 w ko艅cowej cz臋艣ci wykonywalnego pliku .com, plik jest uruchamiany. Nazwa pliku jest przesy艂ana jako parametr, a pe艂na nazwa jest umieszczana w pliku %WINDIR%directx.sys do p贸藕niejszej infekcji.
Kolejnym krokiem wirusa jest zarejestrowanie si臋 w systemie (tworzony jest plik svchost.com i odpowiedni klucz w rejestrze).
Nast臋pnie szkodnik tworzy unikatowy identyfikator MutexPolesskayaGlush w celu oznaczenia zainfekowanego systemu.
Id膮c dalej, wirus:
- szuka nap臋d贸w innych ni偶 stacja dyskietek i nap臋d CD-ROM
- na znalezionych nap臋dach szuka plik贸w spe艂niaj膮cych poni偶sze kryteria i infekuje je:
- plik znajduje si臋 w katalogu %Program Files% lub %WINDIR%;
- plik nie znajduje si臋 na no艣nikach umieszczonych w nap臋dach A: oraz B:;
- rozmiar pliku musi si臋 zawiera膰 w przedziale zamkni臋tym od 41 473 bajt贸w do 10 000 000 bajt贸w.
Wirus poprawnie przetwarza pliki posiadaj膮ce atrybut "tylko do odczytu". Po dokonaniu infekcji szkodnik przywraca pierwotny atrybut pliku.
W celu usuni臋cia szkodnika z systemu nale偶y wykona膰 nast臋puj膮ce operacje:
- Zmodyfikowa膰 klucz poni偶szy klucz rejestru:
[HKCRexefileshellopencommand] z:
%WINDIR%svchost.com "%1" %* na:
"%1" %* - Usun膮膰 z dysku plik:
%WINDIR%svchost.com
- Przeprowadzi膰 pe艂ne skanowanie komputera (w tym celu mo偶na skorzysta膰 z wersji testowej programu Kaspersky Anti-Virus).