🤛🏻 🍙 🥥 威胁聚焦：Neshta文件病毒 🕛 👩🏿‍🤝‍👨🏼 👐

敬礼，哈布里沃派！期待“逆向工程2.0”课程的开始，我们希望与您分享另一个有趣的翻译。

简短评论

Neshta是一种相当古老的文件病毒，至今仍很普遍。它最初于2003年被发现，之前与BlackPOS恶意软件相关联。它将恶意代码添加到受感染的文件中。基本上，这种威胁通过无意下载或其他恶意程序进入环境。它感染Windows可执行文件，并且可以攻击网络资源和可移动媒体。

2018年，Neshta主要专注于制造业，但也袭击了金融，消费和能源领域。出于稳定性方面的考虑，Neshta将其自身重命名为svchost.com，然后修改了注册表，以便每次启动.exe文件时都会启动注册表。众所周知，这种威胁会收集系统信息并使用POST请求来泄露由攻击者控制的服务器上的数据。我们的分析中使用的Neshta二进制文件未演示数据渗漏行为或功能。

技术分析

本节介绍Neshta感染的症状。我们在2007年，2008年和2019年对上传到VirusTotal的病毒样本进行了采样。

我们使用以下SHA-256哈希分析了文件：

29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75

静态文件分析

使用Borland Delphi 4.0编译的Neshta代码。文件大小通常为41,472字节。

与任何Delphi二进制文件一样，Neshta具有四个可写（DATA，BSS，.idata和.tls）和三个共享节（.rdata，.reloc和.rsrc）：

图1.节标题的特征。

此外，Neshta代码显示了有趣的行-参见下面的图2：

“德尔福-最好的。F ***剩下的全部。Neshta 1.0白俄罗斯制造。我们正在举行〜Tsikav〜Belarus_kim jiauchatam。Alyaksandr Rygoravich，你是一个生物。:) Vosen-kepsky对... Alivarya-做啤酒！最好的问候2 Tommy Salo。[2005年11月]您的[Dziadulja Apanas]”
（“ Delphi是最好的。其余的去***。Neshta 1.0白俄罗斯制造。大家好〜有趣的〜白俄罗斯女孩。 Alivaria是最好的啤酒！汤米·萨洛（Tommy Salo）的最良好祝愿。[2005年11月]您的[爷爷阿帕那斯]）

图2：病毒体内有趣的线条

文件感染

Neshta的主要功能是文件入侵者，可在本地驱动器上搜索.exe文件。Neshta面向“ .exe”文件，仅排除快捷方式中包含以下任何行的文件：

％温度％
％SystemRoot％（通常为C：\ Windows）
\ PROGRA〜1 \

下面和图3中描述了感染过程的摘要

。Neshta：

从目标源文件的开头读取41,472（0xA200）字节。
创建两个分区，并在源文件的开头和结尾使用PAGE_READWRITE属性分配内存。
将其恶意标头和代码放在源文件的开头。记录的数据为41,472字节。
将编码的源头和代码写入大小为41.472字节的文件中。

通过这些操作，您可以在启动受感染的文件后立即运行恶意代码：

图3：文件感染

启动受感染的文件时，将%Temp%\3582-490\<filename>使用WinExec API 将源程序放入并启动。

可持续发展

Neshta C:\Windows\svchost.com使用以下参数放置并安装在注册表中：

注册表项：HKLM \ SOFTWARE \ Classes \ exefile \ shell \ open \ command
注册表值：（默认）
值：%SystemRoot%\svchost.com "%1" %*
此注册表更改告诉系统每次运行.exe时都要启动Neshta。文件。“％1”％*表示正在运行的.exe文件。另外，Neshta创建一个命名的互斥体以检查是否存在另一个工作实例：

MutexPolesskayaGlush*.*<0x90>svchost.com<0x90>exefile\shell\open\command‹À "%1" %*œ‘@

另一个注入的文件是“ directx.sys”，该文件发送到％SystemRoot％。这是一个文本文件（不是内核驱动程序），包含最后一个要运行的受感染文件的路径。每次执行受感染文件时都会更新该文件。

BlackBerry Cylance停止Neshta

BlackBerry Cylance使用经过培训的基于AI的代理，可以检测数百万个安全和不安全文件上的威胁。我们的自动化安全代理基于各种文件属性和恶意行为来阻止Neshta，而不是依赖于特定的文件签名。BlackBerry Cylance 在零日威胁方面具有可预测的优势，它经过培训并且可以有效抵御新的已知网络攻击。有关更多信息，请访问https://www.cylance.com。

应用

妥协指标（IOC）

散列

29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409aØ
Ø980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
Ø539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
Øa4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
Ø46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
Øc965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75

档案名称

o％SystemRoot％\ svchost.com
o％SystemRoot
％\ directx.sys o％Temp％\ tmp5023.tmp

C2 / IP
互斥体

o MutexPolesskayaGlush *。* <0x90> svchost.com <0x90> exefile \ shell \ open \ command ‹À“％1”％* –'@

有趣的台词

o Delphi-最好的。F ** k其余所有。Neshta 1.0白俄罗斯制造。我们正在重复~~蒂卡维〜白俄罗斯-金·齐奥查塔姆的工作。Alyaksandr Rygoravich，你是一个生物。:) Vosen-kepsky对... Alivarya-做啤酒！最好的问候2 Tommy Salo。[2005年11月]您的[Dziadulja Apanas]

sha256	29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
一种	pe32可执行文件（gui）英特尔80386，用于ms Windows
规模	41472
时间戳记	1992：06：20 07：22：17 + 09：00
它	svchost [。] com

了解有关该课程的更多信息。

威胁聚焦：Neshta文件病毒