Denominado Linux/Lupper, este gusano busca sistemas que no hayan parcheado las vulnerabilidades XML-RPC for PHP Remote Code Injection Vulnerability y dispongan de los scripts PHP/CGI vulnerables. Para ello escanea indiscriminadamente servidores web enviando peticiones maliciosas al puerto 80. Si encuentra un servidor víctima, y éste además le proporciona facilidades para instalarse, descarga e instala una copia y desde ahí comienza la búsqueda de nuevos servidores susceptibles. Todo ello se dirige a la creación de una red de máquinas zombis, capaces de obedecer comandos remotos.

La mejor forma de comprobar si se está infectado es observar la existencia del fichero /tmp/lupii, así como de un puerto UDP 7222 a la escucha, donde el gusano abre una puerta trasera…