Neshta

Neshta — кампутарны вірус, які зьявіўся ў Рэспубліцы Беларусь у канцы 2005 году. Назва віруса ўтвараецца ад трансьлітарацыі беларускага слова «не́шта».^[1] Neshta належыць да катэгорыі файлавых вірусаў — цяпер мала папулярнага віду шкодных праграмаў.

У базах антывірусных праграм Neshta вядомы, як Virus.Win32.Neshta.a («Антывірус Касьперскага»), Win32.HLLP.Neshta (Dr. Web), Win32.Neshta (ESET NOD32), Win32.Neshuta (Norton AntiVirus).

Фактычна, Neshta зьяўляецца першым беларускім вірусам, які атрымаў шырокае распаўсюджваньне (у асноўным, у самой Беларусі і краінах СНД). Пры тым, што вірус не ўтрымоўвае ў сабе разбуральнай функцыі, у першыя месяцы яго распаўсюджваньня вялікі лік кампутараў у Беларусі папакутаваў якраз ад яго лячэньня. Гэта было зьвязана з тым, што папулярныя антывірусы выдалялі сам вірус, але не вярталі некаторыя зьмененыя вірусам значэньні ў рэестры ў першапачатковы выгляд. У выніку, нармалёва працавалы да лячэньня кампутар пры спробе запусьціць любую праграму выдаваў стандартны дыялёг «Не атрымалася адкрыць наступны файл...».

Тэхнічныя падрабязнасьці

Пры запуску заражанай праграмы на «чыстай» машыне вірус капіюе сваё цела ў файл svchost.com (памер — 41 472 байты) у дырэкторыі Windows. Пасьля гэтага рэгіструе гэты файл у сыстэмным рэестры па адрасе HKCR\exefile\shell\open\command, у выніку чаго запуск любога exe-файла на заражанай машыне будзе папярэднічацца запускам файла віруса. Затым вірус скануе даступныя лягічныя дыскі кампутара і заражае exe файлы, якія задавальняюць некаторым крытэрам (як правіла, гэтая пераважная большасьць exe-файлаў). Пасьля заражэньня праца кампутара не парушаецца.

Для ўзнаўленьня працаздольнасьці кампутара пасьля выдаленьня Neshta антывірусам можа спатрэбіцца зьмяніць значэньне ключа ў рэестры па адрасе HKCR\exefile\shell\open\command з «%Windows%\svchost.com „%1“ %*» на «%1» %* — БЯЗ згадваньняў аб windows\svchost.com

Пасланьне аўтара

Вядомыя дзьве вэрсіі віруса — «а» і «b». Вэрсія «a» ўтрымоўвае ў сабе пасланьне аўтара наступнага зьместу:

«Delphi-the best. Fuck off all the rest. Neshta 1.0. Made in Belarus. Прывiтанне ўсiм ~цiкавым~ беларус_кiм дзяўчатам. Аляксандр Рыгоравiч, вам таксама. Восень — кепская пара… Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]»

— Работа «Технобанка» была парализована устаревшим вирусом, БЕЛОРУССКИЕ НОВОСТИ^[1]

У пасланьні аўтар перадае «найлепшыя пажаданьні» Томі Сала — брамніку зборнай Швэцыі па хакеі, у выніку памылкі якога ў чвэрцьфінальнай гульні на зімовай алімпіядзе 2002 году ў Солт Лэйк Сіці зборная Беларусі змагла выйсьці ў паўфінал.

Факты

• У 2007-м годзе шырокую агалоску атрымаў выпадак заражэньня вірусам Neshta ўсяго кампутарнага парку беларускага банку «Тэхнабанк», у выніку якога кліенты банку на працягу некалькіх сутак не маглі праводзіць грашовыя апэрацыі. Паведамленьне аб дадзеным інцыдэнце зьявілася ў тэлевізійных навінах беларускага канала «ОНТ».
• Праваахоўныя органы Беларусі ў 2006 годзе заявілі аб намеры знайсьці й прыцягнуць да адказнасьці аўтара шкоднаснага кода, аднак дагэтуль імя аўтара Neshta невядома.
• Акрамя краін СНД, вірус распаўсюдзіўся (значна меней) на тэрыторыі ЗША, Канады, Польшчы, Нямеччыны, Бразыліі і іншых краін.
• На працягу ўсяго часу з моманту выяўленьня старонка з апісаньнем віруса Neshta ў «Віруснай энцыкляпэдыі» ўваходзіць у дзясятку самых наведвальных.

Крыніцы

1. ^ ^{а б} Работа «Технобанка» была парализована устаревшим вирусом (рас.) БЕЛОРУССКИЕ НОВОСТИ Праверана 23 студзеня 2010 г.

Вонкавыя спасылкі

• «Вірусная энцыкляпэдыя» — апісаньне віруса Neshta ў «Віруснай энцыкляпэдыі» (рас.)
• Neshta ў навінах (рас.)
• Як змагацца зь вірусам Neshta (рас.)