Existe uma "melhor" maneira de detectar se uma máquina Windows (suponha XP) faz parte de uma botnet?
Eu recomendaria três ferramentas para determinar se o seu sistema faz parte de uma botnet. O conjunto de ferramentas sysinternals é essencial para esse processo. As três ferramentas listadas abaixo são as que você usará para esse processo.
Process Explorer, TCPView Filemon
O primeiro passo é executar o TCPView para verificar se você está falando com algum endereço estranho na Web. Você deve conseguir reconhecer todos os sites com os quais está falando. Se você encontrar um site que você está acessando e que não reconhece, então é a hora de analisar melhor o que está acontecendo.
De um modo geral, quando você tem uma botnet em sua máquina, ela alcançará a Internet em algum momento e quando ocorrer.
Depois de identificar o tráfego não autorizado, geralmente você pode ver qual programa está tentando fazer a conexão. É aqui que você acessa o proces explorer e aqui tenta coletar o máximo possível de informações úteis sobre o processo. Lembre-se também de tomar nota ao encerrar o processo suspeito. Se você obtiver o processo correto, a comunicação não autorizada através do fio deverá parar.
Em seguida, você vai ao filemon para garantir que o malware não tenha aberto outro arquivo, na tentativa de se manter vivo.
Este é um processo cíclico, mas, ao eliminar os programas, um de cada vez, você encontrará o seu problema, se houver algum.
Ontem houve uma discussão aprofundada sobre a cobertura no Slashdot - Como posso saber se meu computador faz parte de uma botnet?