以下の行動を行い、増殖をするもの。

ローカルキルスイッチのチェック
複数のタスクスケジュールの作成
一般ファイルの暗号化（ランサムウェア）
ディスクの暗号化（ランサムウェア）
セキュリティ製品プロセスの検索
イベントログの削除
ジャーナルの削除
ネットワーク関連情報の取得
ユーザー名／パスワードを用いたローカルネットワークへの辞書攻撃
保存されている認証情報の奪取
保存されている資格情報の奪取 

詳細は以下のページ

www.mbsd.jp

ポイントは以下だと思う。

あたかも一般的な実行ファイル形式で感染する

※Adobe Flash Playerのインストーラーを装ったりする。

C:\Windows\System32\rundll32.exeを実行する。

イベントログなどで検出はできるのではないかと思うが

上記の実行ファイルの検知とジャーナルの削除履歴、管理者権限での実行コマンドなどあわせて確認する必要がある。

かつ、ＰＣ内で完結するため、外部アクセスログなどからは判断できないと思われる。

※ただし、同じネットワーク内に感染させるため、通信ははしるのでその状況もみればわかる。ＳＯＣの対応が必要か。