Oznacza to, że na ataki takie narażone są tylko te komputery, na których skonfigurowano usługę zdalnego dostępu SSH, umożliwiającą logowanie się do komputera z dowolnego miejsca na świecie za pośrednictwem Internetu. Gdy malware zainstaluje się na komputerze, wysyła najpierw z powrotem do serwera C&C (Command-and-Control) odpowiednią informację i czeka na instrukcje.

Według informatyków botnet może inicjować cztery rodzaje ataków, wszystkie typu DDoS. Może to być np. atak DNS Amplification wycelowany w serwer DNS lub standardowy atak DDoS wykorzystujący do tego celu protokół HTTP. Ciekawe jest to, że botnet informuje na bieżąco serwer C&C, w jakim stanie znajduje się aktualnie komputer na którym jest zainstalowany (uruchomione programy, obciążenie CPU, stan interfejsu sieciowego, itd.).

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?
• Ministerstwo Cyfryzacji ostrzega przed rosnącym zagrożeniem atakami DDoS

Na komputerach Windows malware instaluje się w katalogu C:\Program Files\DbProtectSupport/ jako program svchost.exe, który jest uruchamiany przy każdym starcie komputera. Botnet w wersji Windows komunikuje się z serwerem C&C używając jego nazwy, a nie numeru IP, jak ma to miejsce w przypadku wersji Linuksowej (chociaż jest to ten sam serwer).

Informatycy są przekonani, że obie wersje oprogramowania malware (jedna atakująca komputery Windows, a druga komputery Linux) zostały opracowane przez ten sam zespół. Pocieszające jest to, że właściwie prawie wszystkie popularne programy antywirusowe chroniące komputery Windows wykrywają botnet, podając różne nazwy zagrożenia (co zależy od tego, jaki jest to program). Użytkownicy komputerów Linux nie są już w tak komfortowej sytuacji, ponieważ praktyka pokazała, że nie wszystkie programu antywirusowe identyfikują to zagrożenie. Tak więc tym razem Windows jest jednak górą.