Przestępcy mogą w anonimowy sposób skorzystać ze skradzionych danych przy pomocy przejętych systemów, gdyż Clampi zawiera wbudowany moduł serwera proxy. Przepuszczając ruch przez komputery ofiar, unikają namierzenia przez specjalistów z agencji rządowych. Wyraźnie widać, że konstruktorzy Clampiego czerpali z wiedzy twórców sieci peer-to-peer, wykorzystywanych do nielegalnego udostępniania treści. Stosują także rozwiązania kryptograficzne wykraczające daleko poza standard. Twórcy ci nie udzielają się na forach ani podziemnych listach mailingowych i nawet inni phisherzy nie wiedzą z kim mają do czynienia. Według Joe Stewarta, wiele wskazuje na to, że za botnetem stoi potężna organizacja przestępców z Rosji lub z krajów Europy Wschodniej.

Mistrzowski kamuflaż

Twórcy złośliwego kodu do perfekcji opanowali technikę ukrywania swojego dzieła przed analizatorami spójności systemu Windows. W odróżnieniu od popularnych wirusów dołączających swój kod jako biblioteki DLL lub osobne pliki wykonywalne, Clampi nie zapisuje niczego bezpośrednio na twardym dysku. W zamian za to, jego kod jest podzielony na segmenty, które są przechowywane w rejestrze systemu Windows w zaszyfrowanej formie. Przy uruchomieniu, program ładujący odpytuje właściwe wartości w odpowiednich kluczach rejestru, deszyfruje je i łączy, tworząc kod, który z kolei podlega umieszczeniu w pamięci jako DLL. Trojan ten posiada zintegrowany loader PE, który wypełnia odpowiednie pola pamięci. Każdy z segmentów kodu wykorzystuje inne taktyki ukrywania przed wykryciem oraz kradzieży informacji.

Clampi używa procesu IEXPLORE.EXE, wewnątrz niego się ukrywa i pracuje, przekazując sterowanie do różnych bibliotek DLL. Gdyby w zainfekowanym przez ten złośliwy kod systemie użyć narzędzia listdlls.exe, wszystkie zwracane 85 DLLi ma swoje poprawne odpowiedniki na dysku, co z kolei oznacza sprawne ukrywanie kodu. Analiza wszystkich bibliotek DLL na dysku prowadzi donikąd. Dobrym miejscem na poszukiwanie ukrytych DLL, które wykonuje Clampi, jest deskryptor wirtualnych adresów (VAD). Nawet jeśli ukryte biblioteki nie są wyświetlane w liście PEB, są załadowane do pamięci wirtualnej procesu IEXPLORE.EXE. Przeglądając drzewo VAD za pomocą narzedzia Volatility, można zidentyfikować podejrzane segmenty pamięci. W tym celu można skorzystać ze snapshotu maszyny wirtualnej.