システム感染を実行する場合、virmakerは常に、特定のシステムがすでに感染しているかどうかを判断するタスクに直面しています。 そうしないと、場合によっては繰り返し感染メカニズムを実装すると、トロイの木馬が混乱したり、システム全体が不安定になったりする可能性があります。 両方とも望ましくありません。
この現象を防ぐメカニズムの1つは、特定のミューテックスの作成です。ミューテックスの存在は、アクティブな感染の存在について結論を出します。 同時に、ミューテックスは決して隠されていないため、特定の感染の存在を示す信頼できるシグナルとなります。
システムで開いているすべてのmutexのハンドルのリストの実行は、
Mark RussinovichのHandleユーティリティを使用して実行できます。 これは簡単なコマンドで実行されます:
handle.exe -a > log.txtリストを解析することにより、システムに感染があるかどうかに関する情報を取得できるだけでなく、場合によってはどのファイルが感染している可能性があるかに関する情報も取得できます。
非常に忙しいマシンでもログの完全な収集には数秒かかることを考えると、感染の迅速な評価を可能にするミューテックスの白黒のリストを作成することは有望と思われます。 たとえば、次のことがよく知られています。
_AVIRA_ [文字]または
__SYSTEM __ [文字] -ZBotマーカー
svchost_test_started -
TDL3トークン
Flameddos -Bifrostマーカー
__b4ng__b4ng__38-ティガーマーカー
Jo1ezdsl-マーカーBankpatch.C
Op1mutx9または
Ap1mutx7-常に
* exeM_ *と組み合わせて-Salityマーカー
Jhdheddfffffhjk5trh -Allapleマーカー
1337bot -Spybotマーカー
Rootz -SDbotマーカー
特定のミューテックスの存在は
、mutantscanプラグインAndreas Schuster for Volatilityを使用し
て 、感染したシステムの完全なメモリダンプによっても検出できることに注意してください。
もちろん、この方法はその後の処理の完全なメカニズムに関する100%の情報を提供しません。さらに、virmakerはコードを少し変更するだけで指定された「検出」を削除できますが、一方で、利点はデータベースの表現力と保守性です。