下線2のipaの回答に違和感があります。
私の回答は[プログラムコード]
ipaの回答は[c&cサーバのipアドレス]
前提として
検体αのプログラムコードはディスク展開されずメモリ内だけに展開されます。
なのでこの時にシャットダウンをしたら、メモリ内のプログラムコードは消失し、再度検査するために起動した仮想マシンの検体αは再度プログラムコードをダウンロードするところから始まりますよね？
なのでその際にプログラムコードが変更されてたら挙動が変わるの方が自然だと感じます。

確かにc&cサーバのアドレスが変わっていたら、再度仮想マシンの電源を入れそこからダウンロードしたプログラムコードコードも変更されてますが、c&cサーバのアドレスが変わっていなくてもプログラムコードが変更される可能性は十分にあると思います。どうでしょうか？

(2)は検体αの挙動が週末挟んで週明けに再実行したら変わってるかもという話。検体αが通信しているのはC&Cサーバなので、このC&CサーバのIPアドレスが変わっていたらダウンロードする物も変わって再現はしないかもしれません。そもそも同じIPでもプログラムコード変えたら再現しないのでは?と思いますがIPAの回答は前者らしい。

このような意見もあるので間違ってないのでは？と思います

うかる！速攻サプリでは間違いと断定していますが、解説では停止中の仮想マシンでは攻撃者がプログラムコードを更新(再びダウンロード)させるのは無理と書いてありますが、再度仮想マシンを起動時にプログラムコードはメモリから消失してるので再度ダウンロードから始まることを考えるとなぜ停止中にインストールすることを考えてるのか意味が分かりません。
再度インストールを実行するのは再び仮想マシンを起動したときだと考えてます。

スレ主様はFast Flux手法に対する認識が不足していると思われます。
昨今のC&CサーバはFast Flux手法が当たり前のように用いられます。
そういう意味ではこの設問は時流であるFast Flux手法への認識が
あるか否かが重要になってきます。

>このような意見もあるので間違ってないのでは？と思います
大変恐縮ですが、IPAの解答にはなんらか意図と根拠があります。
IPAの解答に対して自論を展開してしまうのは、得点する機会を失う
ことになります。

設問に対しての回答としては、同じIPでもプログラムコード変えたら再現しないのでは?

うかる！速攻サプリの解説については停止中の仮想マシンでは攻撃者がプログラムコードを更新(再びダウンロード)させるのは無理と書いてありますが、再度仮想マシンを起動時にプログラムコードはメモリから消失してるので再度ダウンロードから始まることを考えると、同じIPでもプログラムコード変えたら再現しないので設問に対しての回答はこれでも理論上あってませんか？

>設問に対しての回答としては、同じIPでもプログラムコード変えたら
>再現しないのでは?
それはそうです。
ですが、ここでIPAが一番答えとして求めているのが、Fast Flux法について
ということです。

この設問自体は現在の時流についての認識を問うています。
その最たるものが、Fast Flux法です。
プログラムコードの変更は可能性としてはあります。
しかし、Fast Flux法が行われる可能性の方が断然高いとうのがIPAの
趣旨であると考えられます。

なるほどですね、、理解が深まりました。
うかる！速攻サプリの間違いですと言い切るのはすこし危ない気もします・・