Divizia BitDefender din cadrul companiei Softwin a avertizat ca virusul, sub numele de Troian.Ardamax.A, se trimite prin mesaje e-mail sau prin chat, propunandu-le utilizatorilor accesarea unui link catre o arhiva.
Mesajele au urmatorul continut: "salut ionut uite aici ti-am pus programu de care tot ti-am zis... o sa iti dau si ip-urile care trebuie sa le pui acolo mai vorbim pe net cand o sa intri..cauta-ma!
//sREMOVEDt/vladutz2006/client.zip" sau "Salut mai ..vezi ca ti-am pus aici programu ala de care tot iti ziceam, cand intri pe net cauta-ma ca trebuie sa vorbim ceva.. sper ca nu ti-am gresit mailu :)) //sREMOVEDt/manual/client.zip ".
Arhiva spre care indica linkurile contine un fisier executabil (clien.exe), care odata executat instaleaza un "keylogger comercial" - program care supravegheaza utilizarea tastaturii calculatorului infectat . Virusul este dificil de detectat de catre utilizatori intrucat nu este vizibil in task bar sau system tray. Keylogger-ul este capabil sa monitorizeze tastatura si sa obtina parolele conturilor de ICQ Pro, Skype, Windows Messenger , Google Talk, Yahoo Messenger , Miranda, QiP.
Odata obtinute, conturile pot fi compromise prin modificarea parolelor iar hackerul capata controlul asupra lor. Folosindu-se de aceste conturi, autorul poate trimite tuturor contactelor din lista de corespondenta a utilizatorului linkuri catre virus sau catre pagini care cer introducerea de username-uri si parole .