«Бэкдору» дали наименование Linux/Cdorked.A. В отличие от большинства подобных программ, вирус не записывает никаких файлов на жесткий диск и хранит свою конфигурацию в основной памяти, деля ее с другими процессами. А передаются конфигурационные сведения по протоколу HTTP с запутыванием кода, так что в протоколах деятельность Cdorked заметить невозможно.
Как выяснили в ESET, атакующий может управлять поведением вируса на сервере двумя путями — через обратную оболочку или с помощью команд, передаваемых через HTTP-запросы. Основное назначение вируса — обеспечивать переадресацию на вредоносные сайты с самым распространенным сейчас пакетом эксплойтов Blackhole Exploit Kit. По оценкам инженеров ESET, бэкдором заражены несколько сотен серверов, то есть переадресацию могут выполнять тысячи совместно размещенных на них веб-сайтов. Распознавание Cdorked возможно путем проверки целостности Apache или исследования дампа памяти.