Chodzi o błąd opisany jako CVE-2012-1823 (i załatany już w maju 2012 r. w PHP 5.4.3 / 5.3.13) – występuje on w php-cgi, komponencie umożliwiający PHP działanie w konfiguracji Common Gateway Interface (CGI).

Z analiz Symanteca wynika, że autor robaka (do tej kategorii zaliczono Linux.Darlloz) skorzystał z kodu proof-of-concept, opublikowanego w Internecie pod koniec października. Wiadomo, że szkodnik propaguje się w Sieci szukając podatnych na atak maszyn, a następnie próbuje zainstalować się w nich poprzed odpowiednio spreparowane zapytanie HTTP POST. Jeśli na atakowanej maszynie będzie zainstalowana podatna na atak wersja PHP, Linux.Darlloz zostanie automatycznie pobrany i zainstalowany.

Zobacz również:

• Linux Foundation uruchamia dwie nowe inicjatywy wspierające obliczenia o wysokiej wydajności i systemy pamięci masowej

Robak napisany został z myślą o atakowaniu komputerów x86 z Linuksem – ale Symantec twierdzi, że potrafi on również atakować sprzęt z procesorami ARM, PPC, MIPS oraz MIPSEL. Oznacza to, że na jego liście celów znaleźć się mogą również np. routery, kamery IP, sprzęt multimedialny itp, w których powszechnie wykorzystywane jest oprogramowanie na bazie Linuksa.