Ponlo en máquina virtual y coloca un snifer tipo Wireshark, con netstat verás hacia donde conecta pero no si va descargando nuevos ficheros o lo que se le ocurra, a parte de ver la IP.

Wireshark: http://www.wireshark.org/download.html

Si tienes un equipo para estas tareas puedes utilizar el programa "SysAnalyzer", infectará tu sistema pero lo verás todo a tiempo real. Si la muestra de malware lleva "antisandbox", no se ejecutará y no realizará ninguna modificación ni conexión.
Sysanalyzer:
http://sandsprite.com/tools.html
http://sandsprite.com/CodeStuff/SysAnalyzer_Setup.exe

Saludos.

Mire un poco los strings, y en los strings se puee ver que se copia el registro, intenta escalar privilegios, tiene una password y que detecta el sistema operativo y crea shels... Pero no sale la ip.

Ya lo supuse pero no tengo tanto tiempo XD

En la maquina virtual el troyano no se ejecuta,supongo que es para evitar que lo estudien.

Supongo que tocara hacer correr el virus en un windows sin maquina virtual o intentar hacerle reversing

has probado con un firewall que te avise las conexiones con las alertas?
por ejemplo comodo firewall, configuralo para que cualquier tipo de conexion se te avise, te digo porque este firewall es muy bueno.

o como dicen mas arriba wireshark, puedes hacer un filtro de tcpip de tu maquina para descartar conexiones locales y despues por http ftp o ssh... u tros...o optaria por http.

otra opcion seria el resource hacker o el win32dasm ya que CASI NADIE LE PROGRAMA ANTIS...

si el resource hacker te dice que el ejecutable esta protegido con compresores de EXE usa el upx para descomprimirlo...

como puedes ver hay un monton de tecnicas muy sencillas...... y muchas mas