Har testat att reversa programmet lite fort men inte lyckats lista ut exakt vad det gör (den skapar en ny process och skriver över minnet med ny kod som finns i filen, men olly gillar inte när jag försöker attacha till den nya processen).
Hur som helst, efter det att jag lekt med detta så ser jag att min sandbox maskin skickar udp-paket till ip: 93.158.114.107 och port 7008 (kan dock inte svära på att den inte gjorde det innan, eftersom jag lekt med andra program på den, men är 99% säker iaf).. och den får även svar därifrån. Känns onekligen som att ett RAT-program har blivit installerat. ip-nr till hör port80 .. och en snabb nmap-scan visar att den har ftp, ssh, http och mysql installerat.
Surfar man in till webservern så står det bara "none" men tittar man på sourcen så finns det in iframe som pekar till
http://q38.ru:8080/index.php
Hrm, mystiken tätnar