Pod tą nazwą wykrywana jest zainfekowana kopia pliku wininet.dll systemu Windows. Celem tej infekcji jest przenoszenie wszystkich odwołań do funkcji HttpSendRequest do zarażonego pliku .dll.

Virus.Win32.Nsag.a (często zwany także Smitfraud) instalowany jest przez kilka szkodliwych programów. Smitfraud i Nsag są do siebie bardzo podobne.

Gdy uruchomiona zostanie aplikacja instalująca Nsag w folderze systemowym tworzone są dwa pliki .dll.

Jeden z nich ma rozmiar około 7 KB i zazwyczaj nosi nazwę oleadm.dll. Działa on jako AdWare/Trojan-Downloader. Plik ten najczęściej wykrywany jest jako Trojan-Downloader.Win32.Agent.ns.

Drugi z plików - oleadm32.dll - jest zainfekowaną kopią pliku wininet.dll systemu Windows.

Szkodnik wykorzystuje technikę zapewniającą, że podczas ponownego uruchamiania komputera systemowy plik wininet.dll zostanie zastąpiony plikiem oleadm32.dll bez wyświetlania na ekranie żadnych komunikatów lub ostrzeżeń.

Istnieje kilka wersji szkodnika Smitfraud. Są one znane ze względu na funkcję zmieniającą tapetę pulpitu. W większości przypadków podmieniona tapeta zawiera informacje o infekcji trojanem Trojan-Spy.HTML.Smitfraud.c.

Tapety zapisywane są w folderze systemowym jako ws.bmp i są wykrywane przez program Kaspersky Anti-Virus jako not-a-virus:BadJoke.Win32.Nsag.a.

Usuwanie szkodnika Virus.Win32.Nsag.a

W celu usunięcia szkodnika z systemu należy wykonać następujące operacje:

• upewnić się, że program Kaspersky Anti-Virus jest uaktualniony;
• przeprowadzić pełne skanowanie systemu i wyleczyć lub usunąć wszystkie obiekty wykryte jako zainfekowane;
• przejść do foldera systemowego (najczęściej jest to C:WindowsSystem32);
• odnaleźć plik wininet.dll i zmienić jego nazwę na wininet.dl;
• odczekać kilka chwil; powinna pojawić się nowa, czysta wersja pliku wininet.dll;
• uruchomić ponownie komputer i wyleczyć lub usunąć zainfekowany plik wininet.dl.

Trojan.DownLoader.2636 (Doctor Web),   W32/Nsag.A (H+BEDV),   Trojan.Downloader.2636.A (SOFTWIN),   W32/Smitfraud.A (Panda),   Win32/Oleloa.A (Eset)