Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Юзер и «Нечто»

Прочитали: 18416 Комментариев: 47 Рейтинг: 68

12 августа 2020

Пишет нам не на шутку разгневанный пользователь, а сотрудник техподдержки отвечает:

Какие [beep] вирусы в лецензионных программах и те что скачаны с оф сайта???!!!!!!!!!!

и если вы уже совсем [beep] то на будущее системный файл ну никак не может быть по определению вирусом!!!!! из за вас [beep] все работы пошли на смарку!!!!

я уже пожалел что перешел с аваста на вас....тот хоть и косячил но не так как ваш....поверьте я никому не посоветую ваш продукт,даже наоборот.....

Обращение пользователя в техническую поддержку «Доктор Веб»

Угроза детектируется как Win32.HLLP.Neshta. Это файловый вирус, который действительно заражает файлы. Вы можете ознакомиться с краткой характеристикой здесь: https://ru.wikipedia.org/wiki/Neshta и на нашем сайте — https://vms.drweb.ru/virus/?i=468&lng=ru.

Рекомендуется проверить актульность обновления ОС и выполнить проверку системы антивирусом, имеет смысл сделать это через LiveCD.

Ответ специалиста технической поддержки

Расслабились, однако, пользователи! «Системный файл ну никак не может быть по определению вирусом», «какие вирусы в лицензионных программах». Видимо, позабыли уже времена вирусов.

Как мы неустанно повторяем, основные вредоносные программы сейчас – это трояны, их кто-до должен «ручками» поместить в систему. Они не заражают другие файлы (не помещают в них свой код). А вирусов – вредоносных программ, заражающих другие файлы, – мало. Почему? Во-первых, существуют подписи файлов, и нужно не просто заразить файл, но и сохранить эту подпись. При виде файла без подписи антивирус встает в охотничью стойку. Во-вторых, сложно написать вирус, который будет заражать как задумано. Для этого нужна квалификация.

Однако «мало» вовсе не означает, что вирусов нет вообще.

Кстати, тому пользователю вирус попался с интересным именем и редкой «национальности»:

Neshta — белорусский вирус 2005-го года. Название вируса происходит от белорусского слова "нешта", означающего "нечто".

Источник

Содержит строчку:

Neshta 1.0 Made in Belarus.

Источник

Обратим внимание: вирус известен с 2005 года. 15 лет! Привет из молодости. Очень интересно, где его откопал пользователь. Естественно, Dr.Web знает этот вирус и, как только мы начали проверять зараженный компьютер, выявил его.

Но эта история – цветочки.

Шифровка произошла на арендуемом виртуальном сервере. Насколько я понял, с помощью трояна злоумышленнику удалось получить администраторский пароль, после чего он подключился к серверу в тот момент, когда там никого из пользователей не было. Он создал логин Cuctema, добавил его в администраторскую локальную группу доступа, после чего зашифровал все имеющиеся на сервере значимые с его точки зрения файлы, оставив также вирус-банер. Используемые им программы также по-видимому были заражены, вирусом Neshta.

Обращение пользователя в техническую поддержку

Злоумышленник использовал программы, зараженные вирусом. Пять баллов! И даже больше.

Что же делает это «Нечто»?

Заражает файлы EXE PE, размер которых не меньше 41472 байт.

При заражении пишет себя в начало жертвы, а оригинальное начало переносит в конец файла. Часть перенесенного блока (первые 1000 байт) шифрует.

Копирует себя в папку windows под именем svchost.com.

Источник

Попытка запуска какого-либо приложения не дает результата. Все exe-файлы в системе при запуске будут вызывать новоявленный svchost.com, который и будет запускать вирус. Сам вирус будет искать файлы с расширением exe, и заражать их, добавляя к ним вредоносный код.

Источник

Если тело вируса запускается с параметром равным имени программы, которую запускает пользователь, то производится запуск программы, имя которой передается в виде параметра, а полный путь к запущенной программе помещается в файл %WinDir%\directx.sys для дальнейшего заражения.

Источник

#Dr.Web #антивирус #вирус #поддержка

Антивирусная правДА! рекомендует

Приведенные случаи – отличная иллюстрация того, почему из вирусных баз нельзя удалять информацию о древних вирусах. Пользователи умудряются найти экзотику, а наши штатные археологи (сотрудники поддержки) — откопать эту древность.

Все, что вы скачиваете из Интернета, проверяйте антивирусом. Увы, лейбл «лицензионная программа» – вовсе не заклинание, излечивающее любые вирусы.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей