Spyware.NokKernel

Признаки:
При старте программа создает следующие файлы:
* %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\NokNet System\Help.lnk (created in non-hidden installation)
* %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\NokNet System\NokNet.lnk (created in non-hidden installation)
* %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\NokNet System\Uninstall.lnk (created in non-hidden installation)
* %System%\Pf[RANDOM NUMBER].dat
* %System%\a_$$$_.tmp
* %Windir%\Temp\JET[случайное имя].tmp
* %Windir%\NokNet.EXE
* %Windir%\NokNet.HLP
* %Windir%\UNSTALLE.EXE
* %Windir%\UNSTTALW.EXE
* %UserProfile%\Local Settings\Temp\$$$1.TMP
* %UserProfile%\Local Settings\Temp\$$$2.TMP
* %System%\DRIVERS\w32ins.sys
* %System%\Nok_install.exe

(%SystemDrive% - системный диск, %System% - системная директория Windows, %Windir% - директория, в которую установлена Windows, %UserProfile% - директория системных настроек, настроек приложений и временных файлов для текущего пользователя)

Через реестр обеспечивает автозагрузку при каждом старте системы:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\"NokKernel install" = "%System%\Nok_install.exe"


Также создает следующие записи в реестре:
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_W32INS\0000\Control\"*NewlyCreated*" = "0"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_W32INS\0000\Control\"ActiveService" = "w32ins"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_W32INS\0000\"Service" = "w32ins"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_W32INS\0000\"Legacy" = "1"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_W32INS\0000\"ConfigFlags" = "0"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_W32INS\0000\"Class" = "LegacyDriver"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_W32INS\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_W32INS\0000\"DeviceDesc" = "w32ins"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_W32INS\"NextInstance" = "1"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_W32INS\0000\"Service" = "w32ins"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_W32INS\0000\"Legacy" = "1"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_W32INS\0000\"ConfigFlags" = "0"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_W32INS\0000\"Class" = "LegacyDriver"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_W32INS\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_W32INS\0000\"DeviceDesc" = "w32ins"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_W32INS\"NextInstance" = "1"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_W32INS\0000\"Service" = "w32ins"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_W32INS\0000\"Legacy" = "1"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_W32INS\0000\"ConfigFlags" = "0"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_W32INS\0000\"Class" = "LegacyDriver"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_W32INS\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_W32INS\0000\"DeviceDesc" = "w32ins"
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_W32INS\"NextInstance" = "1"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_W32INS\0000\Control\"*NewlyCreated*" = "0"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_W32INS\0000\Control\"ActiveService" = "w32ins"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_W32INS\0000\"Service" = "w32ins"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_W32INS\0000\"Legacy" = "1"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_W32INS\0000\"ConfigFlags" = "0"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_W32INS\0000\"Class" = "LegacyDriver"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_W32INS\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_W32INS\0000\"DeviceDesc" = "w32ins"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_W32INS\"NextInstance" = "1"

Для двух своих сервисов создает следующие подключи в реестре:
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32ins
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fsram

Собранная информация сохраняется в файлах со случайными именами в директориях:
* %SystemDrive%\System Volume Information\{2933BF90-7B36-11d2}
* %SystemDrive%\Nok-Kernel_data_center


ЗАЩИТА:
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)


Действие:
Шпионская программа для платформы Windows. Собирает данные о нажатых клавишах, открытых файлах, посещенных URL, полученных и отправленных электронных письмах, и скриншоты, сделанные через определенные промежутки времени.

Название приложения: NokNet Workstation Monitor. Разработчик: Spin Networks, версия 1.2.090.