Dateilose Malware ist ausschließlich im Arbeitsspeicher aktiv und wird nicht auf die Festplatte geschrieben. Sie kann damit die Erkennung durch Sicherheitslösungen vermeiden. Microsoft setzt daher auf einen Detektions-Algorithmus für Laufzeit-Aktivitäten.
