Del artículo, aquí tengo mi entendimiento:
El núcleo de este malware es una dll que se registra para iniciarse en el arranque, y un módulo del kernel que permite a la dll acceder a una función de nivel de kernel a la que de otra forma no tendría acceso. Una vez ejecutado, el programa escucha los comandos entrantes; Dependiendo del comando, puede hacer varias cosas: hacer una captura de pantalla, grabar un screencast, etc .; la mayoría de estos no requieren permisos de root.
El espionaje en Skype y el correo electrónico se realizan a través de llamadas de API a nivel de usuario: es tan simple como capturar capturas de pantalla y grabar audio desde el bus de mezcla de la tarjeta de sonido. Los datos resultantes se devuelven, con el cifrado AES aplicado (pero de una manera que hace inútil todo el proceso de cifrado; utilizan una clave simétrica, que está codificada en el ejecutable, y ha sido publicada por el CCC; cualquiera que posea esto la clave ahora puede falsificar fácilmente las respuestas, sin poder verificar si son genuinas.) Otro detalle delicado es que, dado que el malware se basa principalmente en cosas locales, puede tomar una captura de pantalla de un correo electrónico que está escribiendo actualmente, y publíquelo en casa, independientemente de si en realidad envía el correo electrónico o lo elimina.
También hay un comando para descargar y ejecutar código arbitrario, con permisos de administrador completos, y esta parte requiere acceso a nivel de raíz (de lo contrario, se le presentaría al usuario el indicador UAC habitual, exponiendo el malware).
Entonces, sí, el malware contiene algún tipo de kit raíz, pero la mayor parte de su funcionalidad se puede lograr sin él.
EDITAR:
Tenga en cuenta la segunda actualización de CCC , ahora con 2 años de antigüedad, por mencionar el descubrimiento de un Nueva versión de software. Se publicó tres semanas después de la primera actualización ya vinculada a un comentario a continuación.