Neshta样本分析
字数 1438 2025-08-18 17:33:08

Neshta病毒样本分析技术文档

1. 样本概述

Neshta是一种感染型恶意软件,主要通过植入自身文件进行感染。本次分析的样本有两个主要组件:

  1. 初始样本:伪装成7z自解压程序

    • 哈希值:8acf5c0049c39a19d42c66c1769874726789160438cec6ceeeb877ce805529d3
    • 行为:尝试释放可执行程序但过程隐蔽

  2. 核心组件:svchost.com

    • 哈希值:cab9a40acca9666c85d6f1712e97622b7982a14622b017210bfa155431de75b5
    • 最早出现:2021年12月
    • 编写语言:Delphi

2. 技术分析

2.1 感染机制

2.1.1 文件感染条件

  • 文件类型:仅感染.exe文件
  • 文件大小限制
    • 小于41,472字节或大于10,000,000字节的文件不会被感染
  • 路径排除
    • 不感染包含以下字符串的路径:
      • PROGRA~1
      • %Windows%
      • %Temp%
  • 驱动器排除
    • 不感染A:\、B:\和CD-ROM驱动器

2.1.2 感染流程

  1. 检查文件扩展名是否为.exe(sub_406FE4函数)
  2. 判断文件大小是否在感染范围内(sub_407D9C函数)
  3. 获取文件图标进行伪装
  4. 在内存中解密svchost.com
  5. 将自身PE嵌入目标文件(sub_4071D0函数)

2.2 持久化机制

  • 注册表修改
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
修改为:C:\\Windows\\svchost.com "%1" %*
  • 互斥体:创建名为"MutexPolesskayaGlush"的互斥体确保单实例运行

2.3 文件操作

  • 创建文件
    • %User Temp%\3582-490\目录
    • tmp5023.tmp临时文件
  • 进程创建:执行%User Temp%\3582-490\xxx.exe

2.4 反分析技术

  • 使用伪随机数进行异或解密数据(DecodeData函数)
  • 通过文件大小判断是否嵌入在其他程序中(40.5kb为分界点)
  • 释放的svchost.com文件在沙箱中表现不同,可能具有环境检测功能

3. 检测与清除方案

3.1 检测指标

  • 文件系统
    • C:\Windows\svchost.com
    • %User Temp%\3582-490\目录
    • tmp5023.tmp文件
  • 注册表
    • 检查HKEY_MACHINE\SOFTWARE\Classes\exefile\shell\open\command的默认值
  • 进程
    • 检查%User Temp%\3582-490\xxx.exe进程
  • 互斥体
    • 检查MutexPolesskayaGlush互斥体

3.2 清除步骤

  1. 注册表修复
    将HKEY_MACHINE\SOFTWARE\Classes\exefile\shell\open\command的默认值恢复为:"%1" %*
  2. 文件删除
    • 删除svchost.com
    • 删除tmp5023.tmp
    • 删除%User Temp%\3582-490\目录
  3. 全盘扫描
    • 使用杀毒软件进行全盘扫描清除被感染文件

4. 防护建议

  1. 避免暴露远程桌面端口(3389)
  2. 及时更新杀毒软件病毒库
  3. 对可疑压缩包进行沙箱分析后再打开
  4. 监控系统临时目录的异常文件创建
  5. 定期检查注册表关键项

5. 参考资源

  1. Trend Micro威胁百科全书:PE_NESHTA.A
  2. PCrisk清除指南:Neshta Malware removal instructions
  3. 样本分析工具:
    • IDR (Interactive Delphi Reconstructor)
    • IDA Pro with Delphi FLIRT签名
    • Process Monitor行为监控
Neshta病毒样本分析技术文档 1. 样本概述 Neshta是一种感染型恶意软件,主要通过植入自身文件进行感染。本次分析的样本有两个主要组件: 初始样本 :伪装成7z自解压程序 哈希值:8acf5c0049c39a19d42c66c1769874726789160438cec6ceeeb877ce805529d3 行为:尝试释放可执行程序但过程隐蔽 核心组件 :svchost.com 哈希值:cab9a40acca9666c85d6f1712e97622b7982a14622b017210bfa155431de75b5 最早出现:2021年12月 编写语言:Delphi 2. 技术分析 2.1 感染机制 2.1.1 文件感染条件 文件类型 :仅感染.exe文件 文件大小限制 : 小于41,472字节或大于10,000,000字节的文件不会被感染 路径排除 : 不感染包含以下字符串的路径: PROGRA~1 %Windows% %Temp% 驱动器排除 : 不感染A:\、B:\和CD-ROM驱动器 2.1.2 感染流程 检查文件扩展名是否为.exe(sub_ 406FE4函数) 判断文件大小是否在感染范围内(sub_ 407D9C函数) 获取文件图标进行伪装 在内存中解密svchost.com 将自身PE嵌入目标文件(sub_ 4071D0函数) 2.2 持久化机制 注册表修改 : 互斥体 :创建名为"MutexPolesskayaGlush"的互斥体确保单实例运行 2.3 文件操作 创建文件 : %User Temp%\3582-490\目录 tmp5023.tmp临时文件 进程创建 :执行%User Temp%\3582-490\xxx.exe 2.4 反分析技术 使用伪随机数进行异或解密数据(DecodeData函数) 通过文件大小判断是否嵌入在其他程序中(40.5kb为分界点) 释放的svchost.com文件在沙箱中表现不同,可能具有环境检测功能 3. 检测与清除方案 3.1 检测指标 文件系统 : C:\Windows\svchost.com %User Temp%\3582-490\目录 tmp5023.tmp文件 注册表 : 检查HKEY_ MACHINE\SOFTWARE\Classes\exefile\shell\open\command的默认值 进程 : 检查%User Temp%\3582-490\xxx.exe进程 互斥体 : 检查MutexPolesskayaGlush互斥体 3.2 清除步骤 注册表修复 : 文件删除 : 删除svchost.com 删除tmp5023.tmp 删除%User Temp%\3582-490\目录 全盘扫描 : 使用杀毒软件进行全盘扫描清除被感染文件 4. 防护建议 避免暴露远程桌面端口(3389) 及时更新杀毒软件病毒库 对可疑压缩包进行沙箱分析后再打开 监控系统临时目录的异常文件创建 定期检查注册表关键项 5. 参考资源 Trend Micro威胁百科全书:PE_ NESHTA.A PCrisk清除指南:Neshta Malware removal instructions 样本分析工具: IDR (Interactive Delphi Reconstructor) IDA Pro with Delphi FLIRT签名 Process Monitor行为监控