Analisando en una maquina virtual las cosas que hace al ejecutar el cliente que es lo que trae regalito xD
Me dijieron buenas herramientas hace unos dias, bajatelas:
-Moo0 FileMonitor 1.05
-Moo0 ConnectionWatcher 1.50
-Regshot 1.8.2
Con eso en una maquina virtual para mas seguridad ejecutas un regshot con el programa mismo, luego el filemonitor y el conection watcher. Luego ejecutas el cliente.exe del rat y te fijas en los otros 2 programas a ver que hace ese cliente.exe, si crea otro archivo para copiarse o si se crea una conexion que no tendria que crear. Si ves que se crea otro archivo.exe y se guardo en una carpeta pues es sospechoso eso y ya sabras donde se guardo. Luego cierras el filemonitor y el watcher y el regshot que seguia abierto le das a otro regshot mas asi te saldra una opcion para comparar el primer regshot con el q hiciste luego de q se ejecuto el cliente.exe, si este venia infectado veras que las modiicaciones nuevas son entradas al registro para q se inicie con windows o cosas asi.
Pero se puede hacer de muchas otras formas xD
Gracias uff siempre se me olvida que existe la maquina virtual y la tengo en el escritorio