Ho letto ZeroAccess e ho esaminato la sorgente di codice di alcuni bot * e ho trovato questo pezzo di codice che controlla se filemon è in esecuzione nel computer infetto prima di eseguire il bot.
int pmain3()
{
std::vector<DWORD> SetOfPID;
GetProcessID("filemon",SetOfPID);
if (SetOfPID.empty())
{
// Nothing found running, Safe to execute bot.
}
else
{
// One of the process was found running, Exit install.
ExitProcess(0);
}
return 0;
}
Non è l'unico. Ci sono altri che controllano Wireshark, tcpview, procmon, VM, VirtualBox, sandBox ...
In questo caso, come posso analizzare un computer infetto? e come posso trovare il processo infetto?
PS: [*] preso dalla botnet IMbotMod V4.1