Насколько я понял из мутного описания, RAT не является вирусом. Это лишь способ спрятать произвольный код в одном из файлов. Он может как являться вирусом, так и не быть им.
Сложность обнаружения модификации всецело зависит от конкретного кода. Если внедрённый код перехватывает системные вызовы, то его обнаружение может стать практически невозможным в скомпрометированной системе. С другой стороны, проверка скомпрометированных носителей на чистой системе способна однозначно обнаружить любую модификацию. Это если говорить о чисто системных файлах.
Найти же зловредный участок кода в пользовательских программах и библиотеках, не имея эталона файлов, вряд ли возможно, т.к. эталон зачастую отсутствует. Максимум, можно формировать эталон динамически для каждого отдельно взятого компьютера или группы компьютеров. Но сложность тут снова в том, что проверку на соответствие эталону имеет смысл проводить лишь на гарантированно чистой системе.
В любом случае я предпочитаю считать скомпрометированным любой компьютер, на котором кто-либо мог запускать произвольный код или извлекать компоненты в моё отсутствие. Все носители такого компьютера следует тестировать в гарантированно чистой среде.