Onehdy jsem si všiml, že když nechám systém několik hodin v pohotovostním režimu, antivirus (Kaspersky 6.0) detekuje něco takového:

riskware not-a-virus:Monitor.Win32.Ardamax.24 Soubor: C:WINDOWSsystem32SysExplorer.006

poté …

Proces (PID 3356) se pokusil o přístup k procesu Kaspersky Anti-Virus 6.0 (PID 1492), ale byl zablokován. Toto je monitorování sebeobrany a nemusíte dělat nic.

Zaujal mě tento Ardamax a něco o něm našel na stránkách od Bitdefender kde je prezentován jako virus s nízkým rozšířením a…z nízké riziko .

Šíření: Slída

Objeveno: 9. května 2006

Risk: Mic

Velikost: 413 tis

Co myslí lidé z BitDefenderu “nízké riziko” Opravdu nechápu, proč to takhle klasifikovali, protože Ardamův záblesk Trojana / Keylogger  care se ascunde destul de bine in sistem facand in acelasi timp captura de parole (ICQ Pro, Skype, Windows Messenger, Google Talk, Yahoo Messenger, Miranda, QiP, etc). Foloseste cu succes C:Windowssystem32svhost.exe pentru a accesa un protocol de trimitere sa datelor din calculator catre exterior. Suficient pentru mine sa-i dau destula atentie.

Virusul este creatia unui roman si este de obicei trimis cu printr-un link in e-mail :

“salut ionut uite aici ti-am pus programu de care tot ti-am zis… o sa iti dau si ip-urile care trebuie sa le pui acolo mai vorbim pe net cand intri..cauta-ma! http://[REMOVED]/vladutz2006/client.zip “

Vrcholem bylo, že jsem virus získal z antivirového archivu staženého z torrentu. Geniální způsob umístění viru. Kdo to udělal, byl přesvědčen, že kdo si stáhne antivirový archiv, buď není chráněn vůbec, nebo má av. slabý.

H:Kaspersky.Antivirus.2006.v6.0.0.303.Incl Key [11-oct-2006].rarKaspersky.Antivirus.2006.v6.0.0.303.Incl Key [11-oct-2006]Install.exe

Pro ty “zajímá” infikované archivy lze stále nalézt na: dosc.torrents.ro a www.demonoid.com.