Nach der Infizierung eines Rechners klinkt sich Dyre in Browser-Prozesse ein, um Verbindungen zu bestimmten Domains – meist die von Banken – zu überwachen. Dadurch hat die Malware die Möglichkeit, die Anmeldedaten auszuspähen, sobald sie in den Browser eingegeben werden. Laut Microsof hat es Dyre auf rund 150 Domains von US-amerikanischen und europäischen, darunter auch deutschen Banken, sowie mehrere Bitcoin-Websites abgesehen.
Der Softwarekonzern hat zudem bestätigt, dass die Hintermänner von Dyre nun auch Windows 10 und Edge ins Visier genommen haben. Die Malware sei aber weiterhin auch bei Chrome, Internet Explorer und Firefox aktiv. Eine Infektion mit Dyre könne man daran erkennen, dass sich im Ordner “Appdata\Local” eine ausführbare Datei (.exe) mit einem zufälligen alphanumerischem Namen befindet. Ein anderer Hinweis seien Meldungen der Firewall, Programme wie explorer.exe und svchost.exe benötigen höhere Privilegien.