Supongamos que se instaló un malware (en una plataforma basada en UNIX) con algunos trucos de ingeniería social. El código original instalado puede ser benigno, pero la única actividad maliciosa es que el malware se conecta a un servidor C & C y recupera algo de carga útil maliciosa adicional. Luego, el malware intenta ejecutar la carga maliciosa recuperada.
Lo que no está del todo claro es cómo se ejecuta esa carga maliciosa? ¿Se debe escribir en un archivo y luego se debe realizar una llamada a execve? ¿Hay otras posibilidades?