Toissapäivänä huomasin, että jos jätän järjestelmän valmiustilaan muutamaksi tunniksi, virustorjunta (Kaspersky 6.0) havaitsee jotain tämän kaltaista:

riskiohjelma ei-a-virus:Monitor.Win32.Ardamax.24 Tiedosto: C:WINDOWSsystem32SysExplorer.006

sen jälkeen …

Prosessi (PID 3356) yritti päästä Kaspersky Anti-Virus 6.0 -prosessiin (PID 1492), mutta se on estetty. Tämä on itsepuolustuksen valvontaa, eikä sinun tarvitse tehdä mitään.

Olin kiinnostunut tästä Ardamaxista ja löysin siitä jotain verkkosivustolta Bitdefender jossa se esitetään viruksena, jonka leviäminen on vähäistä ja…- pieni riski .

Levitän: Kiille

Löytyi: 2006 toukokuuta 09

Riski: Mikrofoni

Koko: 413k

Mitä BitDefender-ihmiset tarkoittavat “pieni riski” En oikein ymmärrä, miksi he luokittelivat sen niin, koska Ardamin troijalainen / Keylogger  joka piiloutuu melko hyvin järjestelmän toiminnassa samanaikaisesti ehdonalaiseen vangitsemiseen (ICQ Pro, Skype, Windows Messenger, Google Talk, Yahoo Messenger, Miranda, QiP jne.). Se käyttää onnistuneesti tiedostoa C:Windowssystem32svhost.exe päästäkseen protokollaan tietojen lähettämiseksi tietokoneesta ulkopuolelle. Riittää, että kiinnitän siihen tarpeeksi huomiota.

Virus on romaanin luominen, ja se lähetetään yleensä sähköpostissa olevan linkin kautta:

“hei ionut, katso tähän, olen laittanut ohjelman, josta kerroin… Annan sinulle myös IP-osoitteet, jotka sinun on laitettava sinne, keskustelemme verkossa, kun pääset sisään... etsi minua! http://[POISTETTU]/vladutz2006/client.zip “

Kohokohta oli, että sain viruksen torrentista ladatusta virustorjunta-arkistosta. Nerokas tapa sijoittaa virus. Kuka tahansa tämän teki, oli vakuuttunut siitä, että kuka tahansa, joka lataa virustorjunta-arkiston, ei ole suojattu ollenkaan tai hänellä on av. heikko.

H:Kaspersky.Antivirus.2006.v6.0.0.303.Incl Key [11-oct-2006].rarKaspersky.Antivirus.2006.v6.0.0.303.Incl Key [11.10.2006]Install.exe

Niille “kiinnostunut” tartunnan saaneet arkistot löytyvät edelleen osoitteesta dosc.torrents.ro ja www.demonoid.com.