このリリースにある説明によると、感染後は数字で始まるディレクトリの新規作成が行えなくなるとされている(例えば「mkdir 1」など)。そして2つ目のテストは、下記の構文のtcpdumpコマンドを用いてサーバから出されるパケットをモニタするというものである。
tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'"
現状で最大の謎とされているのは、そもそもこれらのサーバ群がどのようにして感染したのかである。力ずくで進入した形跡が今のところ確認されていないため、現在疑われている手口は、問題のマルウェア作成者はサーバのrootパスワードを盗み出すことでアクセスしたのではないかというものだ。ComputerWorldの掲載した記事にある調査報告では、確認されている内で最も古い被害者は大手のホスティング企業の運営するサイト群であり、ここのセキュリティが突破された段階で攻撃者側は数百ないしは最悪数千単位のWebサイトに関するrootアクセス権を入手していた可能性があるとされている。
各自のサーバを防護するための積極的な方策としては、現状ではrootパスワードの安全を確保する以外の選択肢がほとんど存在しないため、その他にシステム管理者の行える最善の活動を挙げるとすれば、前述したtcpdumpコマンドと同種の手法を用いて手元のサーバが感染していないかをチェックするくらいのものしかないであろう。既に侵入されたサーバについては、感染除去に有効と思われる方法は今のところ寄せられていないが、LinuxとApacheを完全に再インストールしてrootパスワードを設定し直すことで目的を果たすことができるものと思われる。