Даная вредоносная программа распространяется в ELF-формате и представляет собой угрозу для Linux Web-серверов.
Червь распространяется через следующие уязвимости:
* AWStats Rawlog Plugin Logfile Parameter Input Validation Vulnerability (Bugtraq 10950);
* XML-RPC for PHP Remote Code Injection Vulnerability (Bugtraq ID 14088);
* Darryl Burgdorf Webhints Remote Command Execution Vulnerability (Bugtraq ID 13930).
Этим уязвимостям подвержены программы:
b2evolution Drupal PHPGroupWare PostNuke TikiWiki WordPress Xoops
В обновленных версиях этих программ уязвимости были закрыты.
Через указанные уязвимости на сервере выполняются несколько команд: сначала с фиксированного адреса с помощью программы wget скачивается копия червя, которая сохраняется в каталоге /tmp под именем lupii. Затем с помощью команды chmod устанавливается бит выполнения и запускается сам исполняемый файл.
Кроме того на скомпроментированном сервере устанавливается backdoor на 7222 UDP порту для приема команд.
Червь генерирует список URL который содержит следующие строки:
/awstats/
/b2/xmlsrv/xmlrpc.php
/b2evo/xmlsrv/xmlrpc.php
/blog/xmlrpc.php
/blog/xmlsrv/xmlrpc.php
/blogs/xmlrpc.php
/blogs/xmlsrv/xmlrpc.php
/blogtest/xmlsrv/xmlrpc.php
/cgi/awstats/
/cgi/hints.cgi
/cgi/hints.pl
/cgi/includer.cgi
/cgi-bin/
/cgi-bin/awstats/
/cgi-bin/hints.cgi
/cgi-bin/hints.pl
/cgi-bin/hints/hints.cgi
/cgi-bin/hints/hints.pl
/cgi-bin/inc/includer.cgi
/cgi-bin/include/includer.cgi
/cgi-bin/includer.cgi
/cgi-bin/stats/
/cgi-bin/webhints/hints.cgi
/cgi-bin/webhints/hints.pl
/cgi-local/includer.cgi
/community/xmlrpc.php
/drupal/xmlrpc.php
/hints.cgi
/hints.pl
/hints/hints.cgi
/hints/hints.pl
/includer.cgi
/phpgroupware/xmlrpc.php
/scgi/awstats/
/scgi/hints.cgi
/scgi/hints.pl
/scgi/includer.cgi
/scgi-bin/
/scgi-bin/awstats/
/scgi-bin/hints.cgi
/scgi-bin/hints.pl
/scgi-bin/hints/hints.cgi
/scgi-bin/hints/hints.pl
/scgi-bin/inc/includer.cgi
/scgi-bin/include/includer.cgi
/scgi-bin/includer.cgi
/scgi-bin/stats/
/scgi-bin/webhints/hints.cgi
/scgi-bin/webhints/hints.pl
/scgi-local/includer.cgi
/scripts/
/stats/
/webhints/hints.cgi
/webhints/hints.pl
/wordpress/xmlrpc.php
/xmlrpc.php
/xmlrpc/xmlrpc.php
/xmlsrv/xmlrpc.php
Этот список используется для заражения других хостов.