После проникновения в систему червь случайным образом выбирает IP-адреса и выполняет проверку возможности совершения атаки на выбранную систему. В первой фазе атаки червь пытается получить доступ к web-интерфейсу путём подбора типовых логинов и паролей. В случае удачи проверяется наличие установки php в CGI-режиме и предпринимается попытка эксплуатации уязвимости (проверяются наличие скриптов /cgi-bin/php, /cgi-bin/php5, /cgi-bin/php-cgi, /cgi-bin/php.cgi и /cgi-bin/php4). Если атака прошла успешно на взломанную систему из внешнего ресурса загружается код червя и начинается поиск новой жертвы.

В настоящее время обнаружен лишь прототип червя, атаки на базе которого пока не зафиксированы в диком виде или имеют единичный характер. Выявленный экземпляр червя поражает только системы на базе архитектуры x86 (червь распространяется в форме исполняемого файла), но имеются свидетельства о наличии сборок червя для архитектур ARM, PPC, MIPS и MIPSEL.

Тем временем, в маршрутизаторах D-Link выявлен очередной бэкдор, позволяющий получить доступ к устройству через telnet, используя прописанные в прошивке логин и пароль. Проблема подтверждена в устройстве D-Link DAP 1522, но судя по всему затрагивает и другие модели.

Источник: http://www.opennet.ru/opennews/art.shtml?num=38547