この悪意があるプログラムは、実行可能なファイルを識別して感染させます。プログラムは、Delphi で書かれた Windows PE EXE ファイルです。ファイルは、サイズが 41,472 バイトです。
インストール
ウイルスは、svchost.com ファイルを削除するために、ウインドウズシステムディレクトリ (%WINDIR%) を検索します。それは、それから、ウイルスの本体を含む新しい svchost.com ファイルを作成します。システムレジストリに、下記のキーを作成します。
[HKCR\exefile\shell\open\command]
@="%WINDIR%\svchost.com \"%1\" %*"
これは、システムが起動される度に、ウイルスが自動的に実行されることを意味します。
その他
ウイルスの本体は、下記の文字列を含みます。
Delphi-the best.
**** off all the rest.
Neshta 1.0
Made in Belarus.
もしストリングが 41,472 バイトよりも長ければ、暗号を解読するファイルファンクションをコールして実行されます。そうでない時は、感染させられたファイルがそのまま実行されます。
ファイルを解読して実行する時に、ウイルスは、プログラムへウイルスの本体が導入された後に暗号化されたプログラムの本体の一部分を解読します。どういう訳か、ウイルスが実行可能なファイルを改変することが出来なかった時には、3582_490 と呼ばれるフォルダをウインドウズテンポラリーディレクトリ (%TEMP%) に作成するでしょう。きれいな実行可能なファイルは、このフォルダーに解読されるでしょう。
Neshta.a は、ファイルが存在することを仮定して %WINDIR%\direct.sys にリストされるファイルを感染させるように試みます。(それは、全てのシステムでは無く。)
それは、ファイルを呼ぶ時に、どのように多くのパラメーターがパスされたかを確認するために調べます。もしパラメーターが実行可能な .com ファイルの終りに位置していれば、ファイルは実行されます。
ウイルスは、システムにその時登録されます。(svchost.com と呼ばれるファイルを作成して登録します。)
ウイルスは、システムにその存在を示すために、独特の識別子「MutexPolesskayaGlush」を作成します。
ウイルスは、それから
- FDD や CD-ROM 以外のディスクのリストを列挙します。
- ウイルスは、ディスクから下記の基準にあうファイルを捜します。
- ファイルは、%Program Files% や %WINDIR% ディレクトリ以外です。
- ファイルは、AとBドライブを感染させません。
- ファイルサイズは、41,473 から 10,000,000 バイトです。
ウイルスは、リードオンリーファイルです。それは、実行されるとファイルのオリジナルの属性をリストアするでしょう。
- 下記のシステムレジストリキーを改変して下さい。
[HKCR\exefile\shell\open\command]
from:
%WINDIR%\svchost.com "%1" %*
to:
"%1\" %*
- あなたのアンチウイルスデータベースを最新版に更新して、PCをフルスキャンして下さい。
