自首次发现该蠕虫以来,背后的攻击者一直通过其命令和控制服务器积极更新该蠕虫的功能,这暗示着该蠕虫依然是一个积极维护的恶意软件。该蠕虫通过使用密码喷洒式攻击和硬编码凭证列表扫描和强行通过MySQL、Tomcat和Jenkins服务传播到其他计算机。
如果恶意软件检测到受感染的系统正在监听52013端口,它将自动杀死自己。如果该端口未被使用,蠕虫将打开自己的网络套接字。据悉,要防御这种新的多平台蠕虫发动的攻击,网络管理员应该限制登录条件,并在所有暴露在互联网上的服务上使用难以猜测的密码,以及尽可能使用双因素认证。