Ukážka kódu prvého modulu malware, a to modul Watcher .
Modul watcher je časť malwaru, ktorá beží na pozadí a je schopná zistiť či kontrolovať bežiace procesy na pozadí systému.
To dáva malwaru určitú inteligenciu, pretože dokáže patrične reagovať na událosť vzniknutej detekcie definovaných procesoch.
Malware dokáže detekovať procesy podľa názvu alebo Process ID a rekurzívne vypínať.
Modulu som implementoval možnosť zaheslovania systému po x-tom počte detekcií procesoch, bezpečnostných nástrojov, ako sú HijackThis, ComboFix,... Po určitom počte detekcií antivírusu Eset Smart Security malware odmaže obsah hdd.
Podotýkam, že nástroj ComboFix obsahuje x-mnoho prídavných modulov + programov, ktoré pri behu samostatne spúšťa a ktoré môžu byť detekovateľné. Čím viacej názvov procesov definujeme, tým dáme tomuto nástroju menšiu šancu sa spustiť.
Keďže ide o problematický nástroj, nielenže dosiahneme zhodenie programu a možnosť na opakované spúštanie reagovať, ale aj "nadkopnutie" systému samotným nástrojom, nakoľko jeho sken zavedie moduly a vykoná operácie, ktoré správne neukončí a tým dochádza k internému poškodeniu či odstaveniu časti systému.