du brauchst nicht mal ein hexeditor....

benenne die exe einfach in txt um....scrolle nach ganz unten (meistens) und schon müssten dort die angaben zum ftp stehen (wenn nicht verschlüsselt).

du kannst natürlich auch den stealer ausführen und von der firewall blocken lassen und hast dann die angaben,wohin er connected (wäre damit aber vorsichtiger )