De Trojan, genaamd Linux.Ekocms.1, slaat de verkregen bestanden op, op de volgende locaties:

- $HOME/$DATA/.mozilla/firefox/profiled

- $HOME/$DATA/.dropbox/DropboxCache

Mocht je op één van deze twee locaties screenshots en audiobestanden vinden, dan mag je je zorgen gaan maken. De mensen van Dr.Web melden verder dat de gevonden code, die gebruikt wordt voor het inschakelen van je microfoon, niet gebruikt wordt tijdens de normale werking van de trojan.

Versleutelde verbinding

Linux.Ekocms.1 stuurt alle verkregen bestanden op regelmatige basis via een versleutelde verbinding naar een command and control-server. Dr.Web vermeldt helaas niet op welke manier gebruikers worden besmet. Wel raden ze aan om een virusscanner te installeren.