¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

  • añadir a favoritos
    Añadir a marcadores

Un usuario y algo

Consultas: 679 Comentarios: 12 Ranking: 13

miércoles 12 de agosto de 2020

Nos escribe un usuario muy indignado, y un empleado del soporte técnico contesta:

¿Qué virus [beep] puede haber en programas de licencia y los descargados del sitio web oficial???!!!!!!!!!!

para que lo sepan [beep], un archivo de sistema no puede ser un virus. Por su culpa [beep] he perdido todo mi trabajo.

Ya lamento haber cambiado de Avast a su antivirus.... en el anterior había errores, pero no tanto como en el suyo...no aconsejaré a nadie Su producto, al revés.....

Solicitud del usuario al soporte técnico de Doctor Web

La amenaza se detecta como Win32.HLLP.Neshta. Es un virus de archivos que realmente infecta los archivos. Puede consultar su breve característica aquí: https://ru.wikipedia.org/wiki/Neshta y en nuestro sitio web — https://vms.drweb-av.es/virus/?lng=es&i=468.

Se recomienda comprobar si el SO se actualiza de regularmente y escanear el sistema con un antivirus, aconsejamos hacerlo con LiveCD.

Respuesta del experto de soporte técnico

Será que están muy relajados los usuarios, si piensan que un archivo de sistema no puede ser un virus y no puede haber virus en programas de licencia. Será que han olvidado ya los tiempos de virus.

Siempre recordamos que los programas maliciosos básicos hoy día son los troyanos que alguien debe colocar en el sistema manualmente. No infectan otros archivos (no colocan su código en los mismos). Y hay pocos virus, programas maliciosos que infectan otros archivos. ¿Por qué? Primero, existen firmas de archivos, y no solo hay que infectar un archivo, sino también guardar esta firma. En caso de detectar un archivo sin firma, el virus reacciona. Segundo, el complicado crear un virus que infectará de forma planificada. Se necesita cualificación correspondiente.

Pero “pocos” no significa que no haya virus.

A propósito, en este caso el virus tiene un nombre interesante y “nacionalidad” poco frecuente:

Neshta — es un virus bielorruso del año 2005. El nombre del virus procede de la palabra bielorrusa “neshta”, lo cual significa “algo”.

Fuente

Contiene una línea:

Neshta 1.0 Made in Belarus.

Fuente

Cabe destacar que el virus es conocido a partir del año 2005. Han pasado 15 años. Nos interesa dónde lo encontró el usuario. Por supuesto, este virus es conocido para Dr.Web que lo detecto al empezar a escanear el equipo infectado.

Pero no es todo.

El cifrado se produjo en un servidor virtual alquilado. Como entiendo, con el troyano el malintencionado consiguió recibir una contraseña de administrador, y luego se conectó al servidor cuando no había ningún usuario en el mismo. Creó un nombre de usuario Cuctema, lo añadió al grupo local de acceso de administrador, y luego cifró todos los archivos importantes para el mismo en el servidor, y también dejó un virus banner. Los programas usados por el mismo, por lo visto, también estaban infectados con el virus Neshta..

Solicitud del usuario al soporte técnico

El malintencionado usó los programas infectados con virus. ¡Qué ingenioso!

¿Qué hace este “algo”?

Infecta los archivos EXE PE cuyo tamaño no es inferior a 41472 bytes.

Al infectar, escribe a sí mismo al principio de la víctima, y el inicio original lo mueve al final del archivo. Cifra una parte del bloque transferido (los primeros 1000 bytes).

Copia a sí mismo a la carpeta windows con nombre svchost.com.

Fuente

Un intento de iniciar algún archivo no da resultados. Todos los archivos exe en el sistema, al iniciarse, llamarán el nuevo svchost.com que iniciará el virus. El virus mismo buscará archivos con extensión exe, e infectarlo, al añadir el código malicioso a los mismos.

Fuente

Si el cuerpo del virus se inicia con un parámetro igual al nombre del programa que inicia el usuario, se inicia el programa cuyo nombre se transfiere como parámetro, y la ruta completa al programa iniciado se coloca en el archivo %WinDir%\directx.sys para posterior infección.

Fuente

#Dr.Web #antivirus #virus #soporte

El mundo de antivirus recomienda

Los casos mencionados confirman perfectamente que no se puede eliminar la información de los virus antiguos de las bases de virus. Los usuarios logran encontrar algo muy poco frecuente, y nuestros arqueólogos de plantilla (personal de soporte) – localizar esta antigüedad.

Escanee con el antivirus todo lo que descarga de Internet, porque la etiqueta “programa de licencia” no es ningún hechizo que desinfecta cualquier virus.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios