Работа «Технобанка» была парализована устаревшим вирусом

 

На минувшей неделе коммерческий банк «Технобанк» подвергся вирусной атаке Попавшему в банковскую сеть компьютерному вирусу удалось на несколько дней фактически полностью парализовать работу финансового учреждения, отрезав его от информационных каналов, пишет газета "Ежедневник".

Парализовал работу банка вирус под кодовым названием Neshta. Neshta – транслитерация белорусского слова “нешта” (нечто). По сведениям вирус появился в ноябре 2005 года. Белорусское происхождение вируса выдают строки комментариев к коду:

"Delphi-the best. F**k off all the rest. Neshta 1.0 Made in Belarus. Прывiтанне усiм ~цiкавым~ беларус_кiм дзяучатам. Аляксандр Рыгоравiч, вам таксама Восень — кепская пара... Алiварыя — лепшае пiва! Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]".

В настоящее время большинство антивирусных программ определяют его.

Действует вирус следующим образом: при открытии зараженного файла вирус создает в директории с операционной системой (Windows или Winnt) файл svchost.com размером 41472 байта. Файл загружается в оперативную память, при этом изменяя в системном реестре значение параметра в ветке HKEY_CLASSES_ROOTexefileshellopencommand. Таким образом, получается, что все запускаемые файлы открываются только после того, как обработается файл svchost.com. В диспетчере задач появляется лишний процесс svchost.exe.

После перезагрузки перестают запускаться все программы. Т.е. после запуска, допустим, Total Commander, запускается svchost.com, который в свою очередь блокирует запуск Total’а. Кроме этого вирус копирует себя во все запускаемые файлы, увеличивая их размер на 41472 байта.

По предварительной версии, в банк вирус попал в защищенном паролем архиве. Подобной уловкой в последнее время все чаще и чаще пользуются злоумышленники, распространяющие в интернете вредоносные коды. Теоретически вирус мог попасть в корпоративную банковскую сеть по электронной почте или на цифровом носителе информации.

Эксперты полагают, что распространению вируса в «Технобанке» способствовал так называемый «человеческий фактор» – кто-то из сотрудников финансового учреждения собственноручно распаковал архив и запустил белорусский вирус. При этом остается большой загадкой, каким образом известному с 2005 года программному коду удалось заразить практически все компьютеры банка, тем самым фактически парализовав его работу.

Распознать и обезвредить уже не защищенный архивом вирус должны были внутренние антивирусные системы, которые давно знакомы с Neshta. Однако по неизвестной причине оперативно локализовать компьютерную заразу ни автоматическим системам, ни специалистам банка не удалось.

Эксперты утверждают, что ликвидация последствий атаки может обойтись «Технобанку» в круглую сумму. По крайней мере, инвестиции в укрепление антивирусной защиты обещают быть внушительными.