Онзи ден забелязах, че ако оставя системата в режим на готовност за няколко часа, антивирусът (Kaspersky 6.0) открива нещо подобно:
riskware not-a-virus:Monitor.Win32.Ardamax.24 Файл: C:WINDOWSsystem32SysExplorer.006
след това …
Процесът (PID 3356) се опита да получи достъп до процеса на Kaspersky Anti-Virus 6.0 (PID 1492), но беше блокиран. Това е наблюдение на самоотбраната и не е необходимо да правите нищо.
Интересувах се от този Ardamax и намерих нещо за него на уебсайта от Bitdefender където е представен като вирус с ниско разпространение и…на нисък риск .
Разпространение: слюда
Открито: 2006 09 май
Риск: микрофон
размер: 413k
Какво имат предвид хората на BitDefender “нисък риск” Не мога да разбера защо го класифицираха така, защото Снимката на Ardam на Trojan / Keylogger което се крие доста добре в системата, която прави по същото време улавяне на условно освобождаване (ICQ Pro, Skype, Windows Messenger, Google Talk, Yahoo Messenger, Miranda, QiP и др.). Той успешно използва C:Windowssystem32svhost.exe за достъп до протокол за изпращане на данни от компютъра навън. Достатъчно, за да му обърна достатъчно внимание.
Вирусът е създаване на роман и обикновено се изпраща чрез връзка в имейл:
“здравей ionut, виж тук сложих програмата, за която ти казах… Ще ви дам и IP адресите, които трябва да поставите там, ще говорим онлайн, когато влезете... потърсете ме! http://[ПРЕМАХНАТО]/vladutz2006/client.zip “
Акцентът беше, че получих вируса от антивирусен архив, изтеглен от торент. Гениален начин за поставяне на вирус. Който го е направил е убеден, че който тегли антивирусен архив или не е защитен изобщо, или има av. слаб.
З:Kaspersky.Antivirus.2006.v6.0.0.303.Incl Key [11-окт.-2006].rarKaspersky.Antivirus.2006.v6.0.0.303.Incl Key [11-октомври-2006]Install.exe
За тези “заинтересовани” заразените архиви все още могат да бъдат намерени на: dosc.torrents.ro и www.demonoid.com.
