Risposte:
Consiglierei tre strumenti per determinare se il tuo sistema fa parte di una botnet. La suite di strumenti sysinternals è un must per questo processo. I tre strumenti elencati di seguito sono quelli che utilizzerai per questo processo.
Process Explorer, Filemon TCPView
Il primo passo è eseguire TCPView per vedere se stai parlando con indirizzi strani sul Web. Dovresti essere in grado di riconoscere tutti i siti con cui stai parlando. Se trovi un sito che stai ammettendo di non riconoscere, allora è il momento di guardare più da vicino a quello che sta succedendo.
In generale, quando si dispone di una botnet sul proprio computer, a un certo punto raggiungerà Internet e quando sarà sicuro di accorgersene.
Una volta identificato il traffico non autorizzato, in genere è possibile vedere quale programma sta tentando di stabilire la connessione. Qui è dove vai a proces explorer e qui proverai a raccogliere quante più informazioni utili possibili sul processo. Assicurarsi inoltre di prendere nota quando si termina il processo sospetto. Se si ottiene il processo corretto, la comunicazione non autorizzata attraverso il cavo dovrebbe interrompersi.
Successivamente vai a filemon per assicurarti che il malware non abbia aperto un altro file nel tentativo di mantenersi in vita.
Questo è un processo ciclico, ma quando elimini i programmi uno alla volta, troverai il tuo problema se ce n'è uno.
Ieri c'è stata una discussione approfondita sul topping a Slashdot: come posso sapere se il mio computer fa parte di una botnet?