この現象を防ぐメカニズムの1つは、特定のミューテックスの作成です。ミューテックスの存在は、アクティブな感染の存在について結論を出します。 同時に、ミューテックスは決して隠されていないため、特定の感染の存在を示す信頼できるシグナルとなります。
システムで開いているすべてのmutexのハンドルのリストの実行は、 Mark RussinovichのHandleユーティリティを使用して実行できます。 これは簡単なコマンドで実行されます:
handle.exe -a > log.txt
リストを解析することにより、システムに感染があるかどうかに関する情報を取得できるだけでなく、場合によってはどのファイルが感染している可能性があるかに関する情報も取得できます。
非常に忙しいマシンでもログの完全な収集には数秒かかることを考えると、感染の迅速な評価を可能にするミューテックスの白黒のリストを作成することは有望と思われます。 たとえば、次のことがよく知られています。
_AVIRA_ [文字]または__SYSTEM __ [文字] -ZBotマーカー
svchost_test_started - TDL3トークン
Flameddos -Bifrostマーカー
__b4ng__b4ng__38-ティガーマーカー
Jo1ezdsl-マーカーBankpatch.C
Op1mutx9またはAp1mutx7-常に* exeM_ *と組み合わせて-Salityマーカー
Jhdheddfffffhjk5trh -Allapleマーカー
1337bot -Spybotマーカー
Rootz -SDbotマーカー
特定のミューテックスの存在は、mutantscanプラグインAndreas Schuster for Volatilityを使用して 、感染したシステムの完全なメモリダンプによっても検出できることに注意してください。
もちろん、この方法はその後の処理の完全なメカニズムに関する100%の情報を提供しません。さらに、virmakerはコードを少し変更するだけで指定された「検出」を削除できますが、一方で、利点はデータベースの表現力と保守性です。