Программа AdminTrap производит создание троянского экземпля¬ра одного из системных каналов и ждет, когда к нему подключится кли¬ент. Затем AdminTrap выполняет вызов функции Win32 «ImpersonateNa-medPipeClient», которая назначает маркер доступа (access token) клиента экземпляра канала, handle серверного конца которого указан в качестве параметра функции. Если выполнение функции прошло успешно, один из потоков программы AdminTrap получает полномочия пользовате¬ля-клиента троянского экземпляра канала.
Вероятность того, что программа AdminTrap после вызова «Imperso-nateNamedPipeClient» получит полномочия администратора, весьма вели¬ка, если случайно удастся перехватить следующие сетевые соединения:
? winreg — удаленное управление реестром, списком сервисов, репликацией и административными оповещениями (alerts), удаленный просмотр системных журналов, удаленное диагностирование и оценка производительности;
? spoolss — удаленное управление принтером.
После запуска программа ожидает подключения администратора.
Когда администратор начнет выполнять одну из административ¬ных операций, сетевое соединение администратора перехватывается, программа выдает на экран окно, содержащее имя и список привилегий этого администратора, и предлагает осуществить создание нового поль¬зователя с именем AdminTrap, который входит в группу «Administrators».