Un RAT (Remote Administration Tool) commercial s'installe là où on lui dit de s'installer et sous un nom que nous lui connaissons. Un RAT hostile s'installe furtivement dans un répertoire où il a peu de chance d'être repéré de visu par un utilisateur courant : par exemple les immenses répertoires système contenant des milliers de fichiers exécutables aux noms barbares et inconnus. Certains sont tellement furtifs que même en utilisant le gestionnaire de tâches (la combinaison de touches alt-ctrl-sup) il n'apparaît pas dans la liste des tâches actives ou, s'il apparaît, c'est sous un nom qui ne retiendra pas l'attention.
Dès que le RAT est installé, la première chose qu'il fait est d'implanter un dispositif lui permettant d'être lui-même lancé automatiquement chaque fois que l'ordinateur est démarré. Il modifie pour cela la liste de démarrage et reste actif (à l'écoute) tant que l'ordinateur est allumé. L'usage d'outils d'analyse de la liste de démarrage de Windows peut aider.
Une fois actif, son souci est d'ouvrir une porte (il commence par se comporter comme un Backdoor), toujours la même (il y en a 65.536 dans votre PC) puis de rester à l'écoute en la maintenant ouverte chaque fois que vous vous connectez sur le Net. Il utilise diverses méthodes de camouflage pour tenter de tromper les pare-feux (firewall). Il n'émet absolument jamais rien de lui-même, il n'appelle jamais (contrairement à ce qu'écrivent certains sites de sécurité) car ce serait le meilleur moyen de se faire repérer et de se faire bloquer. En sus, s'il appelait, il devrait donc appeler une adresse IP ou un serveur (un nom de domaine) donc il serait immédiatement possible de savoir "à qui le crime profite".
Le pirate, depuis sa machine "cliente", va tenter de trouver et "réveiller" son "serveur". Il appelle donc une adresse IP sur le port de son serveur. Deux possibilités s'offrent à lui pour avoir cette adresse IP:
Votre adresse IP est fixe. Le pirate va directement voir si vous êtes en ligne et si le port sur lequel écoute le serveur de son RAT est ouvert. Le pirate s'attaque donc à une cible choisie qui n'est pas celle de monsieur tout le monde. En principe, l'internaute "lambda" que vous êtes n'est pas visé car vous êtes "sans intérêt" (désolé pour votre ego). Tant que vous ne sortez pas la tête hors de l'eau vous êtes noyé dans les millions d'adresses IP et c'est une assez bonne planque.
Votre adresse IP est dynamique, affectée à chaque connexion. C'est le cas de monsieur tout le monde. Le pirate utilise tout d'abord un scanner d'adresses IP et de ports afin de trouver, adresse par adresse, si son RAT est à l'écoute. Dans ce cas, le pirate s'attaque à une cible au hasard. Plusieurs pirates peuvent tomber sur le même backdoor.
Le pirate "protège son RAT" par un mot de passe. Une fois entré, il est à votre place et peut observer ou intervenir sans que vous vous en apperceviez grace aux fonctionnalités multi-tâches de Windows et a sa capacité de faire tourner des applications et services en arrière plan.