Как отмечают эксперты, первоначально такой троянец был спроектирован под процессорную архитектуру SPARC, но после этого его адаптировали под x86-64.
Для своей работы программа использует зашифрованный конфигурационный файл, прочитав содержимое которого с определённой периодичностью обращается к управляющему серверу для получения команд. Связь с C&C сервером вредонос пробует держать через прокси-сервер, данные для авторизации на котором он извлекает из собственного файла конфигурации.
Чтобы не дать себя найти, троян разделяет всю передаваемую информацию на блоки, а каждый из них он шифрует и применяет к ним персональную подпись. Позже хакеры, очевидно, решили модифицировать малварь, чтобы она также была совместима с платформой Intel.
Однако, специалисты из компании «Доктор веб» сейчас занимаются решением данной проблемы. Зловред также владеет очень хитроумной системой проверки подлинности получаемых от управляющего сервера пакетов с закодированными данными. Невзирая на столь запутанный механизм работы, Linux.Rekoobe.
Невзирая на это, сама программа довольно проста и может выполнять всего лишь три команды. 1 умеет по команде закачивать с управляющего сервера и загружать на него файлы, а еще действовать с командным интерпретатором Linux на зараженной машине. Так атакующие могут удаленно действовать с инфицированным приспособлением.
