После запуска на зараженном устройстве вирус Linux.BackDoor.Fgt.1 отправляет запрос на один из серверов Google, чтобы определить, является ли оно подключенным к Интернету.
В случае подтверждения, программа определяет IP-адреса и MAC-устройства, а затем пытается установить соединения с контрольно-управляющим (C&C) сервером, адрес которого указан на постоянной основе в коде backdoor.
Затем вирус Linux.BackDoor.Fgt.1 ожидает получения блока данных, содержащих команды для выполнения на зараженном устройстве. Если сервер C&C отправит инструкцию PING, бэкдор отсылает ответ PONG и продолжает работать на зараженном устройстве. Если в полученном сообщении будет команда UDP, Linux.BackDoor.Fgt.1 выключается.
Backdoor содержит также специальную процедуру сканирования 256 случайных IP-адресов в одной петле. При создании IP-адресов Linux.BackDoor.Fgt.1 проверяет, входят ли они в диапазон адресов, используемых внутри локальной сети – такие адреса игнорируются. В случае, когда соединение не удается, отправляет информацию об ошибке на сервер C&C.
Если соединение запускается, вредоносная программа пытается установить соединение с удаленным узлом через Telnet и получение, так называемой, «стимулирующей строки» для входа в систему.
После отправки на удаленный хост логина из созданного списка, Linux.BackDoor.Fgt.1 начинает анализ ответа от удаленной машины. Если какой-то из них включает запрос пароля, бэкдор пытается войти в систему с помощью пароля, найденного в списке.
Затем передает на сервер C&C, IP-адрес, логин и пароль, используемые для удаленной авторизации на узле, после чего узел, являющийся целью атаки получает инструкцию скачать специальный скрипт, который используется для загрузки и запуска Linux.BackDoor.Fgt.1 на зараженном компьютере.
Бэкдор способен заражать не только подключенные к сети Интернет серверы и ПК, работающие под управлением операционной системы Linux, но и другие устройства, такие как роутеры.
