Program ładujący (Jminet7.sys) jest odpowiedzialny za wstrzyknięcie głównej biblioteki DLL (netp191 .pnf) do określonego procesu. Wstrzyknięty proces to zazwyczaj services.exe. Plik Netp191.pnf zawiera ładunek i zaszyfrowany blok danych. Odszyfrowuje dane konfiguracyjne przechowywane w netp192.pnf i sprawdza w nich wartość „żywotności”. Jeśli działa dłużej niż 36 dni, oczyszcza rutynę. W przeciwnym razie nadal działa. Następnie Netp191.pnf wstrzykuje się do jednego z plików
następujące cztery procesy [15]:
- Explorer.exe
- IExplorer.exe
- Firefox.exe
- Pccntmon.exe
Duqu sprawdza, czy w systemie działają procesy antywirusowe, podobnie jak robi to Stuxnet. Następnie sprawdza procesy wymienione w tabeli 18.2. Jeśli którykolwiek z nich zostanie znaleziony, Duqu wstrzykuje się w ten proces. Wykonuje tę samą procedurę, co w przypadku Stuxneta, włączając w to przechodzenie do funkcji ntdll.dll. Rootkit zapewnia funkcjonalność instalacji i uruchamiania keyloggera. Keylogger jest dostarczany za pośrednictwem CCS do celu po początkowej infekcji. Keylogger .exe zawiera osadzony plik jpeg, obraz służy tylko do oszukiwania i zawiera zaszyfrowaną bibliotekę DLL. Biblioteka DLL zawiera wywołania funkcji związanych z keyloggerem. Keylogger przechowuje dane w katalogu% TEMP% na komputerze docelowym. Gromadzi następujące dane [17]:
- Dane dotyczące naciśnięć klawiszy
- Informacje o maszynie
- Lista procesów
- Informacje o sieci
- Lista udostępnionych folderów
- Lista komputerów w tej samej sieci
- Zrzuty ekranu
Następnie wysyła zebrane dane do zdalnych systemów CCS przy użyciu protokołów http i https.