En un sistema ya infectado con Lion, el gusano buscará redes IP aleatorias de clase B en el puerto 53 para sistemas con una vulnerabilidad de desbordamiento de búfer de Firma de transacción (TSIG) en el Servicio de dominio de nombres de Internet de Berkeley (BIND DNS). El gusano solo puede funcionar con las versiones 8.2, 8.2-P1, 8.2.1, 8.2.2-Px y todas las 8.2.3-betas de BIND DNS. Cuando se encuentra una máquina vulnerable, envía el código de explotación a esa máquina.
Cuando el nuevo sistema ha sido comprometido, crea un directorio llamado /dev/.lib (el punto antes del nombre significa que estará oculto). A continuación, Lion descarga el archivo crew.tgz del sitio web http://coollion.51.net/, que contiene el cuerpo principal del gusano Lion. El archivo se descargará y extraerá a /.lib. El archivo tgz tiene un directorio principal llamado /lib con dos directorios debajo llamados /lib y /scan. El directorio superior /lib también contiene el archivo 1i0n.sh. Los dos directorios contienen los siguientes archivos y directorios:
In /lib:
- /dev (directory)
- 1i0n.sh
- du
- find
- getip.sh
- ifconfig
- in.fingerd
- in.telnetd
- login
- ls
- mjy
- name
- netstat
- pg
- ps
- pstree
- ssh.tgz
- sush
- sz
- t0rnp
- t0rns
- t0rnsb
- tfn
- top
In /scan:
- 1i0n.sh
- bind
- bindname.log
- bindx.sh
- hack.sh
- pscan
- randb
- scan.sh
- star.sh
El archivo ssh.tgz en /lib contiene una carpeta llamada /.torn y los archivos:
- sharsed
- shdcf2
- shhk
- shhk.pub
- shrs
Después de extraer el contenido, se ejecuta el componente que busca nuevos sistemas para infectar. Luego envía los archivos shadow y passwd (ambos en el directorio /etc), así como la salida del comando ifconfig a la dirección de correo electrónico 1i0nsniffer@china.com. Luego, el gusano agregará una entrada al archivo inetd.conf en /etc y reiniciará el demonio inetd, que abre un shell que escucha los comandos en el puerto 1008 y elimina el archivo hosts.deny. Este gusano instala el rootkit t0rn. El rootkit desactiva el demonio syslogd.
Agrega dos entradas al archivo inetd.conf que crean un shell que escucha los comandos en los puertos 33567 y 60008. Luego reinicia el demonio inetd para activar los cambios.
Luego crea un demonio ssh troyanizado llamado nscd en el directorio /usr/sbin y agrega una entrada para él en el archivo ‘/etc/rc.d/rc.sysinit’. Este demonio escuchará el puerto 33568. Reemplaza muchos ejecutables del sistema con versiones funcionales pero troyanizadas. En el directorio /bin, reemplaza los siguientes archivos:
- ls
- netstat
- ps
En el directorio /usr/bin:
- du
- find
- top
