如果被攻击的平台上是arm架构,首先会从制定的地址Hxxp://185.14.xxx.xxx/.cgi和Hxxp://185.14.xxx.xxx/armgH.cgi下载arm架构下的IRC-bot,并写入自启动，然后又会从http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/unstable/ipkg-opt_0.99.163-10_arm.ipk 下载ipkg(ipkg是一个软件安装管理工具)，最后使用ipkg安装openssh,并把ssh的端口改为26。攻击代码部分截图如下：

▲

　　接着新建了一个叫做“request”的用户名，设置预定义的密码，然后利用该用户获取目标服务器的权限。

▲

　　攻击者为了避免被发现达到对系统长期占用的目的，它中完了botnet后，还给有问题的系统打了BASH补丁。

　　最后还下载了叫做run的bash脚本,脚本内容如下

▲

　　这个run脚本主要作用是下载叫pnscan的恶意程序，它主要是扫描程序，从调用参数可以看见它是全网段扫描的，实现对更多的主机进行攻击。另外按照bash漏洞出来的时间可以推测出这个脚本是2014-12-3日编写。

▲