Das Botnetz, das der russische Sicherheitsexperte Denis Sinegubko entdeckt hat, setzt sich aus Webservern zusammen, die einerseits wie gewünscht ihre Aufgabe erfüllen und Webseiten ins Internet stellen. Andererseits verschicken sie jedoch über Port 8080 schädliche Software. Diese Arbeit übernimmt ein zweiter Webserver, der auf den gehackten Linux-Maschinen läuft. Das Webserver-Botnetz ist darüber hinaus mit einem Botnetz von infizierten Endanwender-PCs verbunden. Wie die Nachrichten-Seite
The Register berichtet, werden die schädlichen Inhalte mit Hilfe von Providern, die dynamische DNS-Server zur Verfügung stellen, verbreitet.
Die Kriminellen können damit auf ein doppeltes Botnetz von Zombie-Clients und -Servern zugreifen. Das erhöht die Flexibilität ihrer Bot-Armee deutlich.
Auf welchem Weg die Linux-Server infiziert wurden, ist nicht klar. Sinegubko vermutet, dass die Rechner Anwendern gehören, die die Admin-Passwörter nachlässig gesetzt haben.