Троян для сбора информации о зараженном компьютере. При запуске исполняемого файла могуть быть переданы следующие параметры:
<trojan> xxx /in <cmdfile> /out <logfile>
cmdfile – файл с командами какие данные необходимо собирать, если параметр не указан используются инструкции из самого тела трояна
logfile – если параметр не указан, то лог будет сохранен в файле с префиксом ~DQ во временной папке %Temp% (например, ~DQ1.tmp)
Троян содержит в себе основной модуль в виде dll, которую внедряет в winlogon или svchost. Библиотека экспортирует функции для сбора необходимой информации:
- Список запущенных процессов, информация о пользователе и домене
- Список загруженных драйверов
- Скриншоты
- Кейлоггер
- Имена открытых окон
- Доступные сетевые ресурсы
- Возможность просмотра списка файлов