La nouvelle technique anti-émulation de ZBot

Vu chez Symantec :

Le malware botnet a une nouvelle technique pour s’assurer qu’il est bien sur un système Windows « normal » : il vérifie la présence de certains opcodes dans l’API Win32.
Techniquement il regarde par exemple le premier octet de la fonction ReadFile dans kernel32.dll. Si ça ne ressemble pas à un quelque chose d’habituel il considère être sur un système émulé.