На минувшей неделе коммерческий банк «Технобанк» подвергся вирусной атаке Попавшему в банковскую сеть компьютерному вирусу удалось на несколько дней фактически полностью парализовать работу финансового учреждения, отрезав его от информационных каналов, пишет SecurityLab.ru

Парализовал работу банка вирус под кодовым названием Neshta. Neshta – транслитерация белорусского слова “нешта” (нечто). По сведениям вирус появился в ноябре 2005 года. Белорусское происхождение вируса выдают строки комментариев к коду:

"Delphi-the best. F**k off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм ~цiкавым~ беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама Восень — кепская пара... Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]".

В настоящее время большинство антивирусных программ определяют его.

Действует вирус следующим образом: при открытии зараженного файла вирус создает в директории с операционной системой (Windows или Winnt) файл svchost.com размером 41472 байта. Файл загружается в оперативную память, при этом изменяя в системном реестре значение параметра в ветке HKEY_CLASSES_ROOTexefileshellopencommand. Таким образом, получается, что все запускаемые файлы открываются только после того, как обработается файл svchost.com. В диспетчере задач появляется лишний процесс svchost.exe.

После перезагрузки перестают запускаться все программы. Т.е. после запуска, допустим, Total Commander, запускается svchost.com, который в свою очередь блокирует запуск Total’а. Кроме этого вирус копирует себя во все запускаемые файлы, увеличивая их размер на 41472 байта.

По предварительной версии, в банк вирус попал в защищенном паролем архиве. Подобной уловкой в последнее время все чаще и чаще пользуются злоумышленники, распространяющие в интернете вредоносные коды. Теоретически вирус мог попасть в корпоративную банковскую сеть по электронной почте или на цифровом носителе информации.

Эксперты полагают, что распространению вируса в «Технобанке» способствовал так называемый «человеческий фактор» – кто-то из сотрудников финансового учреждения собственноручно распаковал архив и запустил белорусский вирус. При этом остается большой загадкой, каким образом известному с 2005 года программному коду удалось заразить практически все компьютеры банка, тем самым фактически парализовав его работу.

Распознать и обезвредить уже не защищенный архивом вирус должны были внутренние антивирусные системы, которые давно знакомы с Neshta. Однако по неизвестной причине оперативно локализовать компьютерную заразу ни автоматическим системам, ни специалистам банка не удалось.

Эксперты утверждают, что ликвидация последствий атаки может обойтись «Технобанку» в круглую сумму. По крайней мере, инвестиции в укрепление антивирусной защиты обещают быть внушительными.