Neulich ist mir aufgefallen, dass das Antivirenprogramm (Kaspersky 6.0) Folgendes erkennt, wenn ich das System einige Stunden lang im Standby-Modus lasse:

Riskware not-a-virus:Monitor.Win32.Ardamax.24 Datei: C:WINDOWSsystem32SysExplorer.006

danach …

Der Prozess (PID 3356) hat versucht, auf den Kaspersky Anti-Virus 6.0-Prozess (PID 1492) zuzugreifen, wurde jedoch blockiert. Dies ist eine Selbstverteidigungsüberwachung, und Sie müssen nichts tun.

Ich interessierte mich für diesen Ardamax und habe auf der Website von etwas darüber gefunden Bitdefender wo es als Virus mit geringer Verbreitung präsentiert wird und…von geringes Risiko .

Verbreiten: Glimmer

Entdeckt: 09. Mai 2006

Risiko: Mikrofon

Größe: 413k

Was meinen die BitDefender-Leute damit? “geringes Risiko” Ich kann nicht wirklich verstehen, warum sie es so klassifiziert haben, weil Ardamax ist ein Trojaner/Keylogger  was sich gleichzeitig ganz gut im System versteckt Bewährungsstrafe (ICQ Pro, Skype, Windows Messenger, Google Talk, Yahoo Messenger, Miranda, QiP usw.). Es nutzt C:Windowssystem32svhost.exe erfolgreich, um auf ein Protokoll zum Senden von Daten vom Computer nach außen zuzugreifen. Genug für mich, um ihm genügend Aufmerksamkeit zu schenken.

Der Virus ist die Schöpfung eines Romans und wird meist über einen Link in E-Mail verschickt:

“Hallo ionut, schau hier, ich habe das Programm abgelegt, von dem ich dir erzählt habe… Ich gebe dir auch die IPs, die du dort eingeben musst, wir reden online, wenn du reinkommst ... suche mich! http://[ENTFERNT]/vladutz2006/client.zip “

Der Clou war, dass ich den Virus aus einem Antiviren-Archiv bekam, das ich von einem Torrent heruntergeladen hatte. Geniale Art, einen Virus zu platzieren. Wer auch immer das getan hat, war davon überzeugt, dass derjenige, der ein Antiviren-Archiv herunterlädt, entweder überhaupt nicht geschützt ist oder über einen AV-Schutz verfügt. schwach.

H:Kaspersky.Antivirus.2006.v6.0.0.303.Incl Schlüssel [11.10.2006].rarKaspersky.Antivirus.2006.v6.0.0.303.Incl Schlüssel [11.10.2006]Install.exe

Für diejenigen “interessiert” Die infizierten Archive sind weiterhin auf dosc.torrents.ro und www.demonoid.com zu finden.