Wie die Website Malwaremustdie.org und der Antivirenhersteller Avast aufzeigten attackiert die XOR.DDoS – Malware Linux – Rechner, um ein Botnet zu erzeugen und Denial – of – Service – Angriffe zu starten, berichtete linux-magazin.de. Sie installiert unter anderem auch ein Rootkit auf dem Rechner.
Die wohl aus China stammende Malware nutzt, um auf den Rechner zu gelangen, eine Brute-Force-Attacke auf SSH. Stößt sie auf einen mit einem schwachen Passwort abgesicherten SSH-Server, findet sie das Passwort heraus und schiebt dann ein Shellskript auf diesen Server. Laut Avast Blog installiert die Malware zudem ein Rootkit, um die Aktivitäten zu verstecken. Zunächst findet sie dazu heraus, welcher Kernel und welche Module auf dem System laufen. Gibt es bereits eine vorgebaute Version des Rootkits auf dem Command & Control Server (C&C), lädt die Malware diese herunter, andernfalls schickt sie Informationen über den installierten Kernel an den C&C-Server. Das Rootkit ist ein ladbares Kernelmodul, das Flooding-Kommandos ausführen und Ports verstecken soll. Es kommuniziert verschlüsselt mit dem C&C-Server. Da es auch auf ARM-Rechnern läuft, gehen die Avast-Autoren davon aus, dass die Autoren Router und anderer Netzwerk-Hardware als Ziele im Auge haben. Die Verbreitung der Malware sei bislang allerdings nicht groß, auch ein Muster sei nicht zu erkennen.
