Троянская программа, скрывающая свое присутствие в системе от пользователя и других программ.
Инсталляция
Данная программа инсталлируется в систему вместе с другими вредоносными программами с целью сокрытия их активности на зараженном компьютере.
Троянец копируется в системный каталог Windows:
%System%\nso12k.sys
В системный реестр он добавляет следующий ключ:
[HKLM\System\CurrentControlSet\Services\Driver]
"ImagePath" = "%System%\nso12k.sys"
Деструктивная активность
Вредоносная программа представляет собой драйвер, служащий для фильтрации интернет-трафика пользователя аналогично IP Filter Driver. Для этого троянец использует функционал объектов в «ntoskrnl.exe» и «ndis.sys».
Также данный руткит скрывает активность вредоносных программ, что позволяет им получать беспрепятственный доступ в Интернет.