Além disso, esse malware é modular e provavelmente, foi desenvolvido para executar uma série de funcionalidades. Porém, sua versão atual é capaz de encontrar sites que contenham uma vulnerabilidade do tipo Remote File Inclusion (RFI); enumerar os usuários de sites WordPress; identificar páginas de login de usuário em sites com base no WordPress CMS; password brute force para sites com base em WordPress e Joomla; password brute force para quase qualquer página de login, dentre outras características extras.
"Inicialmente, essa amostra de malware aparece como um script PHP", disseram os pesquisadores. "Após a execução, o script elimina todos os processos '/usr/bin/host', identifica a arquitetura do sistema (se é x64 ou x86) e tipo de sistema que está sendo utilizado (Linux ou FreeBSD), e libera um objeto compartilhado malicioso chamado 'libworker.so'. Na sequência, novas variáveis, scripts e tarefas são criados, as funções e os processos executados, e os contatos do malware com o servidor de C & C são estabelecidos, a fim dele enviar informações com instruções sobre o que fazer a seguir.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=2813