Analitycy bezpieczeństwa firmy Doctor Web alarmują - wirus Linux.BackDoor.Fgt.1 został napisany w celu przeprowadzania ataków DDoS.

Po uruchomieniu na zainfekowanym urządzeniu wirus wysyła żądanie na jeden z serwerów Google w celu określenia, czy jest ono podłączone jest do internetu. W przypadku potwierdzenia program określa adresy IP i MAC urządzenia, a następnie próbuje skomunikować się z serwerem kontrolno-zarządzającym (C&C), którego adres jest wpisany na stałe w kod backdoor'a. Wysyła na niego informację o swojej wersji, zaś w odpowiedzi Linux.BackDoor.Fgt.1 oczekuje otrzymania bloku danych zawierających komendę do wykonania na zainfekowanym urządzeniu. Jeśli serwer C&C wyśle instrukcję PING, backdoor odsyła odpowiedź PONG i kontynuuje działanie na zainfekowanym urządzeniu. Jeśli odebrana zostanie komenda DUP, Linux.BackDoor.Fgt.1 wyłącza się.

Backdoor zawiera też specjalną procedurę skanowania 256 losowych adresów IP w jednej pętli. Cykl skanowania jest inicjowany przez atakujących. Podczas generowania adresów IP Linux.BackDoor.Fgt.1 sprawdza, czy wchodzą one w zakres adresów używanych wewnątrz sieci LAN - takie adresy są ignorowane. W przypadku gdy połączenie nie powiedzie się, wysyła informację o błędzie na serwer C&C. Jeśli połączenie zostanie zestawione, złośliwy program próbuje połączyć się ze zdalnym hostem poprzez Telnet i uzyskać tzw. "ciąg zachęty" do logowania. Po wysłaniu do zdalnego hosta loginu z wygenerowanej przez siebie listy, Linux.BackDoor.Fgt.1 rozpoczyna analizowanie odpowiedzi od zdalnej maszyny. Jeśli któraś z nich zawiera żądanie hasła, backdoor próbuje zalogować się używając haseł znalezionych na swojej liście. Następnie przekazuje na serwer C&C adres IP, login i hasło użyte do zdalnej autoryzacji na hoście, po czym węzeł będący celem ataku otrzymuje instrukcję pobrania specjalnego skryptu, który jest używany do załadowania i uruchomienia Linux.BackDoor.Fgt.1 na zaatakowanym komputerze.