Em seguida, passa a conectar as operações de `Kill ()` Syscall, funções relacionadas à rede e listagem de arquivos, obscurecendo assim suas atividades e evitando a detecção.Especificamente, ele oculta arquivos e diretórios começando com os nomes “AUWD” e “vmware_helper” das listagens de diretórios e oculta portas 52695 e 52699, onde ocorrem comunicações aos servidores controlados por atacantes.Os possíveis vetores de infecção incluem exploração de vulnerabilidade, ataques de roubo ou adulteração de credenciais ou, sem querer, sendo instalado como Trojan escondido em um arquivo de instalação ou atualizando como miséria como software legítimo.Ao conectar processos legítimos do Linux, o malware pode suspendê -los em pontos selecionados e interromper funções que ocultam sua presença.De acordo com os pesquisadores:
Durante a fase de inicialização, o rootkit esconde sua própria presença.
