Si ho zdisassembluj a uvidis co v nom je. Teda ak mas na to dostatocne znalosti (povedal by som ze ani ne :). Mnohe disassemblery tusim napr. aj w86dasm zvyraznuju winapi volania apod.

Proces normalnej aplikacie moze ostavat z mnohych dovodov, typicke su hlavne 2 dovody: 1. programator to posral, alebo 2. robi to to co robit ma, ak to ma aj nejaku fcionalitu na pozadi napr. ikonku alebo kontrolu updatov alebo podobne.
Ilegalne aktivity u legalnych aplikacii zo seriozneho zdroja (ne ulozto) su nepravdepodobne, ptz to by si uz zvycajne niekto vsimol.

P.S. ked mas pochybnosti tak to uploadni na virustotal, sice to neni 100% istota ale aspon akotaky prehlad ci v tom neni uz nieco zname.