- Betriebssystem-Version
- laufende Prozesse
- Liste aller Verzeichnisse und Unterverzeichnisse
- Informationen über den Netzwerk-Adapter
- installierte Programme
Diese Informationen sendet Danmec über den TCP-Port 8081 an den Rechner eines Angreifers.
Im System-Verzeichnis des befallenen PCs legt Danmec dazu die Dateiel checkreg.exe und wsl*.dll ab, die für seine korrekte Ausführung notwendig sind.
Damit er bei jedem Systemstart aktiv wird, legt er außerdem den Wert
"Registry Startup Check" = "%System%checkreg.exe"
in folgendem Registry-Schlüssel an:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Fortgeschrittene Anwender können diesen Wert aus dem genannten Schlüssel (auf eigene Gefahr) selbst entfernen. Inzwischen stehen für die gängigen Virenschutzprogramme aber auch Updates zur Verfügung, die den Trojaner beseitigen.