Beim Start prüft Linux.BackDoor.Dklkt.1 seinen Ordner auf eine Konfigurationsdatei mit allen notwendigen Parametern. Die Datei enthält u.a. drei Adressen von Verwaltungsservern des Backdoor-Trojaners. Davon wird nur eine gebraucht, die zwei anderen sind als Reserveadressen gedacht. Die Konfigurationsdatei wurde mittels Base64 verschlüsselt. Beim Start registriert sich Linux.BackDoor.Dklkt.1 auf dem anzugreifenden PC als Systemdienst und bricht - wenn die Anmeldung fehlschlägt - ab.
Dr.Web-Nutzer sind geschützt
Nachdem der Trojaner gestartet ist, erstellt und versendet er ein Datenpaket zum infizierten System. Der Datenverkehr zwischen der Backdoor und dem Remote-Verwaltungszentrum läuft via LZO und wird durch Blowfish verschlüsselt. Jedes Datenpaket wird mit einer Kontrollsumme von Daten ausgerüstet, wodurch die Integrität von Daten geprüft werden soll.
Danach wartet Linux.BackDoor.Dklkt.1 auf eingehende Befehle wie z.B. DDoS-Angriffe, Start des SOCKS Proxy-Servers, Start einer vorgegebenen Anwendung, Neustart oder Herunterfahren des PCs. Alle anderen Befehle werden von Linux.BackDoor.Dklkt.1 entweder ignoriert oder falsch bearbeitet. Der Trojaner ist außerdem in der Lage, folgende DDoS-Angriffe durchzuführen:
- SYN Flood
- HTTP Flood (POST/GET-Anfragen)
- ICMP Flood
- TCP Flood
- UDP Flood
Die Benutzer von Dr.Web für Linux sind gegen den Trojaner zuverlässig geschützt, da die Signatur für die neue Backdoor bereits in die Virendatenbank von Dr.Web Antivirus aufgenommen wurde.