Virus"Доктор Веб" провел тщательный анализ программы Linux.Ellipsis.1, суть которой заключается в построении прокси-серверов на Linux-компьютерах.

Зловред ведет себя очень странно. После того, как он запускается на ПК, он удаляет свой рабочий каталог, а далее пытается завершить ряд работающих приложений, таких как программы ведения и просмотра логов и анализа трафика. После этого программа удаляет директории и файлы системных журналов, а на их месте создает папки с соответствующими именами - так блокируется процесс создания логов с такими именами в дальнейшем.

Также троян удаляет ряд системных утилит, а к ряду файлов добавляет атрибут «неизменяемый» (immutable). Ко всему прочему происходит блокирование IP-адресов подсетей, которые указываются в полученной им команде или в файле конфигурации.
Зловред наделен большим списком характерных строк, при обнаружении которых в сетевом трафике, блокируется обмен данными с удаленном сервером по IP-адресу.

Странность поведения состоит в проверке всех сетевых подключений и пересылки на управляющий сервер IP, с которым соединение устанавливается. В том случае, если сервер дает команду "kill", троян закрывает приложение, которое это соединение установило и производит блокировку IP-адреса.

Прокси-сервер, который организует троян на компьютере, злоумышленники используют для обеспечения анонимности доступа к устройствам, взломанным с помощью Linux.Ellipsis.2. Схема по сути получается такая: троян Linux.Ellipsis.2 обеспечивает несанкционированный доступ к устройству посредствам протокола SSH, а далее этот доступ используется злоумышленниками, при этом сохраняя анонимность благодаря Linux.Ellipsis.1.