این بدافزار توسط CERT لهستانی در اوایل دسامبر كشف شد و نسخه لینوكسی این بدافزار دارای حملات حدس زدن كلمه عبور مبتنی بر فرهنگ لغت علیه خدمات SSH می باشد. این نسخه از بدافزار تنها سیستم هایی را تحت تاثیر قرار می دهد كه می توانند از راه دور و از طریق اینترنت به SSH دسترسی یابند و دارای حساب های كاربری با كلمات عبور ضعیف می باشند.
این بدافزار پس از اجرا از طریق یك آدرس IP و پورت به یك سرور كنترل و فرمان متصل می شود. پس از اولین اجرا، این بدافزار اطلاعات سیستم عامل را برای سرور كنترل و فرمان ارسال می كند و منتظر دستورات می ماند.
با توجه به گزارش منتشر شده توسط CERT لهستانی، چهار نوع حمله از این طریق قابل پیاده سازی و اجرا است و هر یك از آن ها یك حمله DDoS بر روی هدف تعیین شده را اجرا می كنند. یك از این حملات، حمله DNS Amplification می باشد كه در آن یك درخواست شامل 256 پرس و جوی تصادفی می باشد و برای یك سرور DNS ارسال می شود.
در طول حمله این بدافزار اطلاعاتی را از قبیل اجرای حمله، سرعت CPU، بارگذاری سیستم و سرعت ارتباطات شبكه تهیه كرده و برای سرور كنترل و فرمان ارسال می كند.
گونه ای دیگری از این بدافزار نیز برای سیستم های ویندوز طراحی شده است و بر روی آدرس “C:\Program Files\DbProtectSupport\svchost.exe” نصب می شود و به گونه ای تنظیم می شود تا یك سرویس را هنگام راه اندازی سیستم اجرا نماید.
برخلاف نسخه لینوكس، نسخه ویندوز این بدافزار از طریق یك نام دامنه به سرور كنترل و فرمان متصل می شود. با این وجود، هر دو نسخه این بدافزار به یك سرور كنترل و فرمان متصل می شوند.