Manuel Statik Analiz — Neshta | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 4cc12d29c4de4d33985600b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | Light Tool V9.exe (sahte utility aracı, versiyon 9!) |
| Boyut | 985.600 byte (962KB) |
| String Sayisi | 4.868 |
İkonik Geliştirici Mesajı
TARİHİ İMZA: Siber güvenlik tarihinin en tanınan mesajlarından!
"Delphi-the best. Fuck off all the rest. Neshta 1.0 Made in Belarus."
-- "Delphi-the best" = Delphi programlama diline bağlılık -- "Fuck off all the rest" = diğer dillerden üstünlük iddiası -- "Neshta" = Belarusça "нешта" = "bir şey" (belirsizlik vurgusu) -- "1.0" = orijinal sürüm imzası -- "Made in Belarus" = geliştirici konumunu açıkça belirtiyor! -- İlk görüldüğü tarih: 2006 (20 yıl önce!) -- 2026'da hâlâ AKTIF örnekler dağıtılıyor
Neshta: Delphi Dosya Enfektörü
-- Neshta = polimorfik dosya enfektörü (virüs, RAT değil!) -- .exe dosyalarına kendini enjekte eder (parazit virüs) -- Enfekte ettikçe yayılır — her çalıştırılan .exe'ye bulaşır -- 2006'dan bu yana "Light Tool", "Game Crack" gibi sahte utilitylerle -- Yeni örnekler → aktif operasyon veya eski kodun yeniden kullanımı
Gizleme Aracı
Light Tool V9.exe -- "Light" = hafif araç (kaynak kullanımı az) -- "V9" = versiyon 9 (gelişmiş, güvenilir izlenimi) -- Crack/cheat/tool olarak forumlarda dağıtılıyor
IOC
| SHA256 | 4cc12d29c4de4d33985600b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | Light Tool V9.exe (sahte utility) |
| İmza | Delphi-the best. Fuck off all the rest. Neshta 1.0 Made in Belarus. |
Neshta — Malware Profile
Neshta Delphi dosya enforktoru. 2006 Belarus. Delphi-the best mesajı. Light Tool gibi sahte utilitylerle dagitim. Polimorfik.
Malware Type
Other
Programming Language
Delphi
C2 Protocol
HTTP/CDN
Target Systems
Kuresel
Capabilities & Behavior
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
IOC List (1 indicators)
IOC — Neshta
# SHA256
4cc12d29c4de4d33985600b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 4cc12d29c4de4d33985600b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f | len=63 |