Útočníci využívají brutální metody pro odhalení hesel SSH a instalaci škodlivého kódu na servery. Malware objevila počítkem prosince polská organizace CERT Polska. Po instalaci škodlivého kódu dojde k zahájení útoků typu DDOS – Distributed Denial Of Service.
Nově objevený malware má svou linuxovou a Windows podobu. Efektivita útoku typu DDOS závisí na počtu zapojených strojů/instancí. Právě linuxové servery patří vzhledem ke svému rozšíření k oblíbeným a vděčným cílům.
Pro infikaci systému útočníci využívají slovníkové útoky, jež směřují na službu SSH (Secure Shell). V ohrožení se tedy ocitají pouze servery, které povolují vzdálený přístup prostřednictvím protokolu SSH a jejich účty jsou zajištěny slabým heslem.
Spustitelný soubor pracuje v módu „daemon“ a propojuje se se serverem CandC (Command and Control) s pomocí pevně zadané adresy IP a konkrétního portu. V tomto ohledu se liší verze malwaru pro Linux a Windows. Ve druhé variantě se k serveru CandC připojuje s pomocí doménového jména a komunikuje na různých portech. Při prvním spuštění škodlivý kód odešle detailní informace o nastavení napadeného systému. Poté čeká na další instrukce.
Server CandC předá infikovanému systémů instrukce pro jeden ze čtyř typů útoků DDOS. Každý z nich ohrožuje nastavení DNS a zahlcení protokolu HTTP. Útoky jsou po infikaci a instruktáži vedeny proti zcela konkrétním cílům. Server CandC navíc dostává průběžně informace o průběhu útoku, zatížení hostujícího systému a sítě.
Varianta pro Windows se objeví v adresáři "C:\Program Files\DbProtectSupport\svchost.exe" a spustí se současně s operačním systémem. Cílový server CandC je pro obě verze shodný.
Prozatím jedinou známou ochranu proti novému typu útoku/malwaru představuje silné heslo.
