Neshta病毒样本分析技术文档<\/h1>

1. 样本概述<\/h2>

Neshta是一种感染型恶意软件，主要通过植入自身文件进行感染。本次分析的样本有两个主要组件：<\/p>

初始样本<\/strong>：伪装成7z自解压程序<\/p>

哈希值：8acf5c0049c39a19d42c66c1769874726789160438cec6ceeeb877ce805529d3<\/li>
行为：尝试释放可执行程序但过程隐蔽<\/li> <\/ul> <\/li>

核心组件<\/strong>：svchost.com<\/p>

哈希值：cab9a40acca9666c85d6f1712e97622b7982a14622b017210bfa155431de75b5<\/li>
最早出现：2021年12月<\/li>
编写语言：Delphi<\/li> <\/ul> <\/li> <\/ol>
2. 技术分析<\/h2>
2.1 感染机制<\/h3>
2.1.1 文件感染条件<\/h4>

文件类型<\/strong>：仅感染.exe文件<\/li>
文件大小限制<\/strong>：

小于41,472字节或大于10,000,000字节的文件不会被感染<\/li> <\/ul> <\/li>
路径排除<\/strong>：

不感染包含以下字符串的路径：

PROGRA~1<\/li>
%Windows%<\/li>
%Temp%<\/li> <\/ul> <\/li> <\/ul> <\/li>
驱动器排除<\/strong>：

不感染A:\、B:\和CD-ROM驱动器<\/li> <\/ul> <\/li> <\/ul>
2.1.2 感染流程<\/h4>

检查文件扩展名是否为.exe（sub_406FE4函数）<\/li>
判断文件大小是否在感染范围内（sub_407D9C函数）<\/li>
获取文件图标进行伪装<\/li>
在内存中解密svchost.com<\/li>
将自身PE嵌入目标文件（sub_4071D0函数）<\/li> <\/ol>
2.2 持久化机制<\/h3>

注册表修改<\/strong>：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command 修改为：C:\\Windows\\svchost.com "%1" %* <\/code><\/pre> <\/li> 互斥体<\/strong>：创建名为"MutexPolesskayaGlush"的互斥体确保单实例运行<\/li> <\/ul> 2.3 文件操作<\/h3> 创建文件<\/strong>： %User Temp%\3582-490\目录<\/li> tmp5023.tmp临时文件<\/li> <\/ul> <\/li> 进程创建<\/strong>：执行%User Temp%\3582-490\xxx.exe<\/li> <\/ul> 2.4 反分析技术<\/h3> 使用伪随机数进行异或解密数据（DecodeData函数）<\/li> 通过文件大小判断是否嵌入在其他程序中（40.5kb为分界点）<\/li> 释放的svchost.com文件在沙箱中表现不同，可能具有环境检测功能<\/li> <\/ul> 3. 检测与清除方案<\/h2> 3.1 检测指标<\/h3> 文件系统<\/strong>： C:\Windows\svchost.com<\/li> %User Temp%\3582-490\目录<\/li> tmp5023.tmp文件<\/li> <\/ul> <\/li> 注册表<\/strong>：检查HKEY_MACHINE\SOFTWARE\Classes\exefile\shell\open\command的默认值<\/li> <\/ul> <\/li> 进程<\/strong>：检查%User Temp%\3582-490\xxx.exe进程<\/li> <\/ul> <\/li> 互斥体<\/strong>：检查MutexPolesskayaGlush互斥体<\/li> <\/ul> <\/li> <\/ul> 3.2 清除步骤<\/h3> 注册表修复<\/strong>：将HKEY_MACHINE\SOFTWARE\Classes\exefile\shell\open\command的默认值恢复为："%1" %* <\/code><\/pre> <\/li> 文件删除<\/strong>：删除svchost.com<\/li> 删除tmp5023.tmp<\/li> 删除%User Temp%\3582-490\目录<\/li> <\/ul> <\/li> 全盘扫描<\/strong>：使用杀毒软件进行全盘扫描清除被感染文件<\/li> <\/ul> <\/li> <\/ol> 4. 防护建议<\/h2> 避免暴露远程桌面端口（3389）<\/li> 及时更新杀毒软件病毒库<\/li> 对可疑压缩包进行沙箱分析后再打开<\/li> 监控系统临时目录的异常文件创建<\/li> 定期检查注册表关键项<\/li> <\/ol> 5. 参考资源<\/h2> Trend Micro威胁百科全书：PE_NESHTA.A<\/li> PCrisk清除指南：Neshta Malware removal instructions<\/li> 样本分析工具： IDR (Interactive Delphi Reconstructor)<\/li> IDA Pro with Delphi FLIRT签名<\/li> Process Monitor行为监控<\/li> <\/ul> <\/li> <\/ol>