Другие версии: .a, .az, .h, .i, .l, .p
Поведение
Rootkit
Технические детали
Троянская программа, скрывающая свое присутствие в системе от пользователя и других программ. Является драйвером Windows (PE SYS-файл). Имеет размер 4384 байта. Ничем не упакована. Написана на C.
Инсталляция
Данная программа инсталлируется в систему вместе с другими вредоносными программами с целью сокрытия их активности на зараженном компьютере.
Троянец копируется в системный каталог Windows:
%System%/nso12k.sys
В системный реестр он добавляет следующий ключ:
[HKLMSystem/CurrentControlSet/Services/Driver]
"ImagePath" = "%System%/nso12k.sys"
Деструктивная активность
Вредоносная программа представляет собой драйвер, служащий для фильтрации интернет-трафика пользователя аналогично IP Filter Driver. Для этого троянец использует функционал объектов в «ntoskrnl.exe» и «ndis.sys».
Также данный руткит скрывает активность вредоносных программ, что позволяет им получать беспрепятственный доступ в Интернет.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Удалить значение из системного реестра:
[HKLM/System/CurrentControlSet/Services/Driver]
"ImagePath" = "%System%/nso12k.sys"
- Выполнить перезагрузку компьютера.
- Удалить файл:
%System%/nso12k.sys
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: viruslist.com.
| 
