Зловред, направлен против серверов под управлением Linux, позволяет хакеру внедрить свой код в любую страницу, расположенную на зараженном сервере (включая страницы ошибок).
Специвлисты считают, что руткит создавался специально под сервера, управляющиеся 64-разрядной версией Debian Squeeze и Nginx.
Анализ Rootkit.Linux.Snasko.a показал, что он осуществляет вставки HTML IFRAME на каждую страницу с зараженного сервера, заменяя код, создающий TCP/IP-пакеты (tcp_sendmsg), своим собственным.
Руткит, опознанный Лабораторией Касперского как Rootkit.Linux.Snasko.a, считается новинкой. Так как он заражает весь сервер, а не определенные страницы, он может повлиять на работу огромного количества сайтов, заразив, к примеру, сервер хостинг-провайдера.
По словам специалиста из Crowdstrike, руткит с большой долей вероятности был создан русским хакером, у которого было не много опыта. При этом специалист добавляет, что подобный руткит можно успешно использовать в случаях, когда нужно произвести атаку на какую-либо целевую аудиторию и практически не оставить следов.