He estado leyendo sobre ZeroAccess y he buscado en el código fuente de algún bot * y encontré este fragmento de código que comprueba si filemon se está ejecutando en la computadora infectada antes de ejecutar el bot.
int pmain3()
{
std::vector<DWORD> SetOfPID;
GetProcessID("filemon",SetOfPID);
if (SetOfPID.empty())
{
// Nothing found running, Safe to execute bot.
}
else
{
// One of the process was found running, Exit install.
ExitProcess(0);
}
return 0;
}
No es el único. Hay otros revisando Wireshark, tcpview, procmon, VM, VirtualBox, sandBox ...
En este caso, ¿cómo puedo analizar una computadora infectada? ¿Y cómo podría encontrar el proceso infectado?
PS: [*] tomado de la botnet IMbotMod V4.1