بررسی Trend Micro بر روی فایل مخرب NP++ با توجه به پروسسهایی که باهاش لینک میشن، نشان از backdoor بودن اون داره. یکی از روش هایی که برای پیدا کردن پروسس های مخرب استفاده میشه، توجه کردن به نام پروسس ایجاد شده است. به طور معمول، NP++ از نام notepad++.exe استفاده میکنه، اما این نسخهی مخرب از نام notepad.exe بهره گرفته که در نگاه اول غیرعادی به نظر میاد:
همین امر دلیل خوبی برای بررسی بیشتر این پردازش هست. با توجه به بررسی که انجام شده، این نسخهی مخرب فعالیت خودش رو با اجرای دستورات و ابزارهای زیر جلو میبره:
بعد از آلوده کردن اولین ماشین، پخش شدن نسخه آلوده NP++ و فایل config.dat از طریق admin share اتفاق میفته لازم به ذکر هست که این نسخهی آلوده از مرجع اصلی گرفته نشده و از منبعی غیررسمی دانلود شده که نشاندهندهی اهمیت استفاده از ابزارهای رسمی (به خصوص در ویندوز) اشاره داره.