Dall'articolo, ecco la mia comprensione:
Il nucleo di questo malware è una DLL che si registra all'avvio all'avvio e un modulo del kernel che consente alla dll di accedere a funzioni a livello di kernel a cui altrimenti non avrebbe accesso. Una volta avviato, il programma ascolta i comandi in arrivo; a seconda del comando, può fare un certo numero di cose: prendere uno screenshot, registrare uno screencast, ecc .; la maggior parte di questi non richiede i permessi di root.
Spiare skype ed e-mail avviene tramite chiamate API di livello utente: è semplice come catturare screenshot e registrare l'audio dal mix bus della scheda audio. I dati risultanti vengono rinviati, con la crittografia AES applicata (ma in un modo che rende inutile l'intero processo di crittografia - utilizzano una chiave simmetrica, che è codificata nel file eseguibile ed è stata pubblicata dal CCC; la chiave può ora facilmente falsificare le risposte, senza alcun modo di verificare se sono autentiche.) Un altro dettaglio delicato è che, poiché il malware spia principalmente le cose locali, può fare uno screenshot di una e-mail che stai attualmente scrivendo, e postalo a casa, indipendentemente dal fatto che tu invii effettivamente l'e-mail o lo elimini.
C'è anche un comando per scaricare ed eseguire codice arbitrario, con permessi di amministratore completi, e questa parte richiede l'accesso a livello di root (altrimenti l'utente verrebbe presentato con il solito prompt UAC, esponendo il malware).
Quindi sì, il malware contiene una sorta di root kit, ma la maggior parte delle sue funzionalità può essere raggiunta senza di essa.
EDIT:
Nota il secondo aggiornamento di CCC , ora di 2 anni, per menzionare la scoperta di un nuova versione del software. È stato pubblicato tre settimane dopo il primo aggiornamento già collegato a un commento qui sotto.