«Джентльменский набор» от хакеров содержит скрытый майнер, архиватор cookie и вредонос, контролирующий копии в буфере памяти, ни один из малваров не блокируется стандартными антивирусами.
Троян Vidar работает периодически, процесс заключается в копировании кэша браузера, поиск в памяти сохраненных паролей для входа в систему и кошельки. Информация архивируется и постоянно отсылается на удаленный сервер.
Одновременно с ним в оперативной памяти развернут Qulab, заменяющий при найденных в буфере обмена копий адресов кошельков, на собственные данные по криптовалютам: QTUM, ETH, ZCASH, BTC/BCH/BTG, DOGE, DASH, Ripple и LTC.
Скрытый майнер работает почти как обычно, также используя прерываение процесса добычи криптовалюты, синхронизированной с Vidar.