Nedávno som si všimol, že ak nechám systém v pohotovostnom režime niekoľko hodín, antivírus (Kaspersky 6.0) zistí niečo takéto:
riskware not-a-virus:Monitor.Win32.Ardamax.24 Súbor: C:WINDOWSsystem32SysExplorer.006
potom …
Proces (PID 3356) sa pokúsil o prístup k procesu Kaspersky Anti-Virus 6.0 (PID 1492), ale bol zablokovaný. Toto je monitorovanie sebaobrany a nemusíte robiť nič.
Zaujal ma tento Ardamax a niečo som o ňom našiel na stránke od r Bitdefender kde sa prezentuje ako vírus s nízkym rozšírením a…z nízke riziko .
Šírenie: Sľuda
Objavené: 9. mája 2006
Riziko: Mic
Veľkosť: 413 tis
Čo tým ľudia z BitDefenderu myslia “nízke riziko” Naozaj nechápem, prečo to takto klasifikovali, pretože Ardamove zachytenie trójskeho koňa / Keyloggera ktorý sa celkom dobre skrýva v systéme, ktorý robí súčasne podmienečné prepustenie (ICQ Pro, Skype, Windows Messenger, Google Talk, Yahoo Messenger, Miranda, QiP atď.). Úspešne používa C:Windowssystem32svhost.exe na prístup k protokolu na odosielanie údajov z počítača von. Dosť na to, aby som tomu venoval dostatočnú pozornosť.
Vírus je výtvorom románu a zvyčajne sa posiela prostredníctvom odkazu v e-maile:
“ahoj ionut, pozri sem, vložil som program, o ktorom som ti hovoril… Dám ti aj IP adresy, ktoré tam musíš zadať, porozprávame sa online, keď sa dostaneš... hľadaj ma! http://[ODSTRANENÉ]/vladutz2006/client.zip “
Vrcholom bolo, že som vírus dostal z antivírusového archívu stiahnutého z torrentu. Dômyselný spôsob umiestnenia vírusu. Kto to urobil, presvedčil sa, že ten, kto si stiahne antivírusový archív, buď nie je chránený vôbec, alebo má av. slabý.
H:Kaspersky.Antivirus.2006.v6.0.0.303.Incl Key [11-oct-2006].rarKaspersky.Antivirus.2006.v6.0.0.303.Incl Key [11-oct-2006]Install.exe
Pre tých “záujem” infikované archívy možno stále nájsť na: dosc.torrents.ro a www.demonoid.com.
