Het Trojaanse paard dat het netwerk van Google infiltreerde, gaf aanvallers de mogelijkheid om live mee te kijken wat er op de desktop van besmette machines gebeurde. Uit analyse van anti-virusbedrijf Symantec blijkt dat één van de componenten op VNC (Virtual Network Computer) was gebaseerd. Een programma dat computers op afstand kan besturen. De virusbestrijder noemt de Trojan "Hydraq". Eenmaal actief op het systeem downloadt het verschillende bestanden, waaronder VedioDriver.dll en Acelpvc.dll. Analyse wijst uit dat de bestanden en het communicatieprotocol, door aangepaste VNC code te gebruiken, specifiek voor gebruik met Hydraq zijn geschreven.

Een aanvaller kan op afstand een live video feed van een besmette computer opzetten. Ook Symantec ontdekte dat sommige bestanden van de malware al in 2006 zijn gemaakt. "Andere onderdelen van Hydraq hebben data in 2009. Wat mogelijk aangeeft dat de exemplaren die we vandaag zien, in de loop van de tijd zijn ontwikkeld", zegt Symantec's Peter Coogan. Een andere mogelijkheid is dat de datum op de computer tijdens het compileren van de bronbestanden verkeerd stond ingesteld. Onderstaande video laat zien hoe de Trojan werkt.