-
добавить в избранное
Юзер и «Нечто»
12 августа 2020
Пишет нам не на шутку разгневанный пользователь, а сотрудник техподдержки отвечает:
Какие [beep] вирусы в лецензионных программах и те что скачаны с оф сайта???!!!!!!!!!!
и если вы уже совсем [beep] то на будущее системный файл ну никак не может быть по определению вирусом!!!!! из за вас [beep] все работы пошли на смарку!!!!
я уже пожалел что перешел с аваста на вас....тот хоть и косячил но не так как ваш....поверьте я никому не посоветую ваш продукт,даже наоборот.....
Обращение пользователя в техническую поддержку «Доктор Веб»
Угроза детектируется как Win32.HLLP.Neshta. Это файловый вирус, который действительно заражает файлы. Вы можете ознакомиться с краткой характеристикой здесь: https://ru.wikipedia.org/wiki/Neshta и на нашем сайте — https://vms.drweb.ru/virus/?i=468&lng=ru.
Рекомендуется проверить актульность обновления ОС и выполнить проверку системы антивирусом, имеет смысл сделать это через LiveCD.
Ответ специалиста технической поддержки
Расслабились, однако, пользователи! «Системный файл ну никак не может быть по определению вирусом», «какие вирусы в лицензионных программах». Видимо, позабыли уже времена вирусов.
Как мы неустанно повторяем, основные вредоносные программы сейчас – это трояны, их кто-до должен «ручками» поместить в систему. Они не заражают другие файлы (не помещают в них свой код). А вирусов – вредоносных программ, заражающих другие файлы, – мало. Почему? Во-первых, существуют подписи файлов, и нужно не просто заразить файл, но и сохранить эту подпись. При виде файла без подписи антивирус встает в охотничью стойку. Во-вторых, сложно написать вирус, который будет заражать как задумано. Для этого нужна квалификация.
Однако «мало» вовсе не означает, что вирусов нет вообще.
Кстати, тому пользователю вирус попался с интересным именем и редкой «национальности»:
Neshta — белорусский вирус 2005-го года. Название вируса происходит от белорусского слова "нешта", означающего "нечто".
Содержит строчку:
Neshta 1.0 Made in Belarus.
Обратим внимание: вирус известен с 2005 года. 15 лет! Привет из молодости. Очень интересно, где его откопал пользователь. Естественно, Dr.Web знает этот вирус и, как только мы начали проверять зараженный компьютер, выявил его.
Но эта история – цветочки.
Шифровка произошла на арендуемом виртуальном сервере. Насколько я понял, с помощью трояна злоумышленнику удалось получить администраторский пароль, после чего он подключился к серверу в тот момент, когда там никого из пользователей не было. Он создал логин Cuctema, добавил его в администраторскую локальную группу доступа, после чего зашифровал все имеющиеся на сервере значимые с его точки зрения файлы, оставив также вирус-банер. Используемые им программы также по-видимому были заражены, вирусом Neshta.
Обращение пользователя в техническую поддержку
Злоумышленник использовал программы, зараженные вирусом. Пять баллов! И даже больше.
Что же делает это «Нечто»?
Заражает файлы EXE PE, размер которых не меньше 41472 байт.
При заражении пишет себя в начало жертвы, а оригинальное начало переносит в конец файла. Часть перенесенного блока (первые 1000 байт) шифрует.
Копирует себя в папку windows под именем svchost.com.
Попытка запуска какого-либо приложения не дает результата. Все exe-файлы в системе при запуске будут вызывать новоявленный svchost.com, который и будет запускать вирус. Сам вирус будет искать файлы с расширением exe, и заражать их, добавляя к ним вредоносный код.
Если тело вируса запускается с параметром равным имени программы, которую запускает пользователь, то производится запуск программы, имя которой передается в виде параметра, а полный путь к запущенной программе помещается в файл %WinDir%\directx.sys для дальнейшего заражения.
Антивирусная правДА! рекомендует
Приведенные случаи – отличная иллюстрация того, почему из вирусных баз нельзя удалять информацию о древних вирусах. Пользователи умудряются найти экзотику, а наши штатные археологи (сотрудники поддержки) — откопать эту древность.
Все, что вы скачиваете из Интернета, проверяйте антивирусом. Увы, лейбл «лицензионная программа» – вовсе не заклинание, излечивающее любые вирусы.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
achemolganskiy
14:32:39 2020-08-13
Пaвeл
10:28:25 2020-08-13
Lia00
01:03:08 2020-08-13
Альфа
23:49:24 2020-08-12
kokuxo
23:36:05 2020-08-12
tigra
23:32:56 2020-08-12
tigra
23:30:51 2020-08-12
orw_mikle
21:23:57 2020-08-12
dyadya_Sasha
21:21:13 2020-08-12
anatol
20:58:34 2020-08-12
Шалтай Александр Болтай
20:53:03 2020-08-12
L1t1um
20:52:57 2020-08-12
Dvakota
20:29:29 2020-08-12
Toma
20:09:37 2020-08-12
yuraorc
19:46:20 2020-08-12
znamy
19:20:01 2020-08-12
Татьяна
18:39:09 2020-08-12
Polyarnik
17:44:28 2020-08-12
VVK74
17:42:23 2020-08-12
Masha
17:23:28 2020-08-12
ixtiyor10
16:02:21 2020-08-12
Любитель пляжного футбола
15:40:42 2020-08-12
И правда интересно, где пользователь раздобыл тот ископаемый вирус. Разве что в какой-нибудь сибирской деревне, где время отстаёт лет эдак на пятнадцать. :) Только тот гражданин (бип) совсем (бип) не в ладах с русским (бип): и правописание (бип) хромает, и с элементарной пунктуацией совсем-совсем (бип) не дружит. Так разговаривать или писать (бип, бип) - значит проявлять (бип) неуважение к языку, на котором изъясняешься (бип, бип, бииииииииип). А главное, (бииип) ещё учёного из себя строит. :))) Так и хочется сказать "Вот (биип)!"
P.S. Если что, в жизни ни разу всякими "бипами" не ругался. Русский язык такой богатый, что всяку мысль можно выразить нормально и прилично, и тонкий сарказм в неё можно вложить, и глубокое негодование, а бибикать каждый раз - это совсем уж последнее дело и удел людей весьма невежественных.
Денисенко Павел Андреевич
15:18:56 2020-08-12
Sasha50
15:04:35 2020-08-12
Dmur
13:15:20 2020-08-12
runikot
12:52:24 2020-08-12
Геральт
12:13:28 2020-08-12
vinnetou
11:44:11 2020-08-12
DrKV
11:14:47 2020-08-12
Sergey
11:01:35 2020-08-12
Родриго
10:57:24 2020-08-12
Ок. Признать то, что собственные действия могли повлечь осложнение в работе сложно. Необходим механизм смещения: не я совершил действия, влекущие заражение ПК, а вы виноваты в том, что встала вся работа. А в качестве подкрепления своей стратегии приведу аргумент: "системный файл по определению не является вирусом". И не поспоришь, не является. А если аргумент выглядит правдоподобно, мозг делает заключение, что это "правда". И значит я - победитель! И мой гнев нашёл оправдание.
Очевидная ложь. Из правдоподобия не следует истина. Всякий системный файл - не вирус, но некоторые вирусы будут находится в системном файле.
EvgenyZ
10:40:54 2020-08-12
Zserg
09:53:42 2020-08-12
GREEN
09:52:27 2020-08-12
Отвыкли. Забылись. Расслабились. И вот результат - такие обращения в техподдержку.
Глупо не доверять антивирусу, ведь он является фундаментом ИБ.
Неуёмный Обыватель
09:38:56 2020-08-12
@gebrakk, ну не вирус все-таки, наверно, а троян
gebrakk
08:56:05 2020-08-12
vkor
08:32:36 2020-08-12
Vlad X
08:22:51 2020-08-12
Например: CCleaner доктор не дает установить,ругается.
Alexander
08:19:00 2020-08-12
А "героя" сегодняшней статьи АП никак гордыня заела... нетути никакого вируса… у него лицензия... системный файл, понимашь... вот и поплатился... Проймёт-научит ли это его, сомневаюсь... Гордыня, чванство и нежелание считаться с окружающими, - тяжко из больного выводится…
Вот и североамериканские индейцы корабли Колумба сначала за китов приняли... И что из этого вышло?! Спустя много веков весь мир разгребает...
Посему, Dr.Web Security Space, - это лучше всяких заклинаний и танцев с бубнами... и никаких [beep] не понадобится... Пошто ты нешту достаёшь? Али битым ты быть хошь?!
Пaвeл
07:49:37 2020-08-12
Пaвeл
07:49:16 2020-08-12
marisha-san
07:21:29 2020-08-12
ka_s
07:06:12 2020-08-12
Пaвeл
06:23:47 2020-08-12
Slava90
06:00:42 2020-08-12
Korney
04:55:02 2020-08-12
Morpheus
04:48:27 2020-08-12