De malware kan verder ook nog bestanden openen, aanpassen, hernoemen, verwijderen en bestanden naar de C&C-server uploaden. Ook kan de trojan, genaamd FakeFile, zichzelf uitschakelen en deïnstalleren.

De Trojan is vermomd als nep-office-document (Microsoft Office of OpenOffice) of als PDF en wordt voornamelijk verspreid via spamberichten en phishing-mails. Als de gebruiker het bestand voor de eerste keer opent kopieert het zichzelf naar < HOME >/.gconf/apps/gnome-common/gnome-common. Verder past het ook de bestanden .profile en .bash_profile aan zodat het programma na een herstart van het systeem opnieuw wordt gestart. Ten slotte opent het een ander (nep)document als afleidingsmaneuvre.

Geen Root nodig

Het erge van deze malware is dat het alle bovengenoemde functies kan uitvoeren zonder root-rechten. De normale gebruikersrechten zijn voldoende om genoeg schade aan te richten.

Hoewel de meeste Linux-malware zich voornamelijk richt op servers en IoT, lijkt deze malware zich te richten op desktop-systemen.

Alles behalve openSUSE

De onderzoekers van Dr. Web vonden echter iets aparts in de code van de malware. FakeFile lijkt expliciet te controleren of het zich op een openSUSE-systeem bevindt. Als dit het geval is wordt het programma niet uitgevoerd. Er wordt verder niet duidelijk waarom juist deze check is ingebouwd. Het zou wellicht te maken kunnen hebben met het feit dat de maker zelf op een openSUSE-systeem werkte maar dat is pure speculatie.