После заражения, которое происходит с установкой фишингового ПО или плагина обозревателя, вирус получает права root и подменяет библиотеку libc на собственную версию, после чего запускаются хуки readdir, скрывающие запущенный скрытый майнинг. Пользователь видит 100% загруженность CPU вредоносным процессом, но не может вычислить его с помощью программ мониторинга.
Вирус получил идентификатор Coinminer.Linux.KORKERDS.AB специалистами пока точно не установлены пути его проникновения в систему. Майнер добывает Monero и отправляет монеты на удаленные кошельки. Эксперты констатируют, что это первый случай, когда малвар используют руткит в качестве второго компонента, защищающего вредонос от мониторинга, что делает бесполезными все существующие на сегодняшний день программы обнаружения скрытой добычи критовалют.