Lo más sencillo para poder detectar a esté troyano, en nuestro sistema es hacer un "netstat -an" desde DOS y observar si en la lista de conexiones hay algún extraño al servidor IRC (así como 165.121.1.47:6667). Si esto ocurre, podemos decir que somos víctimas de WinSATAN.

Otra posibilidad, es buscar en c:\windows llamado fs-backup.exe (algo así como 366KBs), que nos podría indicar que hay un infección.

Otra opción, es comprobar la clave de Registro, para ver si tenemos alduna entrada innecesaria. Está clave es muy usada por los troyanos que están en la red. Para acceder a esta clave es necesario buscacr una entrada llamda RegisterServiceBackup que esta en c:\windows\fs-backup.exe.