Специалисты компании «Доктор Веб» обнаружили в библиотеке libz, которая используется некоторыми программами для функций сжатия и распаковки, новый Linux-бэкдор, получивший наименование Linux.BackDoor.Hook.1. Он работает только с бинарными файлами, обеспечивающими обмен данными по протоколу SSH. Весьма необычен способ подключения злоумышленников к бэкдору: в отличие от других похожих программ, Linux.BackDoor.Hook.1 вместо текущего открытого сокета использует первый открытый сокет из 1024, а остальные 1023 закрывает.
Бэкдор Linux.BackDoor.Hook.1 может скачивать заданные в поступившей от злоумышленников команде файлы, запускать приложения или подключаться к определенному удаленному узлу. Троянец не работает, если имя запускаемого файла совпадает с /usr/sbin/sshds.