Rootkit udostępniono przed tygodniem na Full Disclosure - umieścił go tam właściciel pewnej strony WWW. Kod został od tego czasu przeanalizowany przez kilka firm zajmujących się bezpieczeństwem w Sieci (m.in. CrowdStrike oraz Kaspersky Lab), które potwierdziły, że jest to wysoce nietypowe złośliwe oprogramowanie, wyróżniające się m.in. niestandardowym wykorzystaniem ataku typu iFrame injection.

Wiadomo już, że szkodnik jest wysoce wyspecjalizowany - atakuje wyłącznie 64-bitowy kernel Debiana Squeeze (wersja 2.6.32-5). Początkowo próbuje on podłączyć się do pewnych funkcji kernela i ukryć własne wątki. Następnym etapem jest próba przejęcia kontroli nad systemem. Nie wiadomo jednak, co dokładnie ma robić ów program po osiągnięciu tego celu - według specjalistów, rootkit wydaje się nieukończony, więc niewykluczone, że nie dodano do niego wszystkich komponentów zaplanowanych w wersji finalnej. Tezę tę potwierdzają m.in. spory rozmiar pliku instalacyjnego oraz fakt, iż zawiera on kod debugujący.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?
• Ta inicjatywa ma ułatwić firmom zadanie wdrażania systemów AI

Zdaniem specjalistów z CrowdStrike najbardziej prawdopodobne jest, że rootkit jest dziełem programistów z Rosji - wykazuje bowiem cechy zbliżone do inicjowanych w tym kraju operacji cyberprzestępczych. "Wydaje się, że nie jest on samodzielnym złośliwym programem, wykorzystywanych np. do ataków na konkretnych użytkowników - bardziej prawdopodobny jest wariant, w którym ów program jest tylko elementem szerzej zakrojonej operacji hakerskiej" - tłumaczą przedstawiciele CrowdStrike.