Theo mình thì có thể là như thế này:
1. Tệp là tệp thực thi (exe) được HĐH tải lên và chạy vào lúc khởi động;
2. Thường trú trong bộ nhớ;
3. Thực hiện các thao tác:
3.1. Tự xác định PID của chính mình, xác định thêm PID của các tiến trình khác;
3.2. Lấy đường dẫn tuyệt đối của chính mình, lấy thêm đường dẫn tuyệt đối của các tiến trình khác;
3.3. Đồng bộ các PID và đường dẫn;
3.4. Đọc dữ liệu cũ từ REG (đã ghi từ trước);
3.5. So sánh dữ liệu mới và cũ;
3.6. Ghép dữ liệu mới vào cuối dữ liệu cũ và ghi vào REG;
3.7. Người lập trình tự nghĩ thêm các thao tác khác;
3.8. Kiểm tra và ghép phần "thao tác" vào các tiến trình khác.
3.9. Kiểm tra và ghép phần "thao tác" vào các tệp .exe khác có trong hệ thống (chủ yếu ở các thư mục C:\Windows; C:\Windows\system32; C:\Program files).
😎