При запуске троян сохраняет себя в папку .gconf/apps/gnome-common/gnome-common, расположенную в домашней директории пользователя.

Затем в папке, из которой был запущен, он ищет скрытый файл с именем, соответствующим своему имени, после чего перемещает его на место исполняемого файла. Например, если ELF-файл Linux.BackDoor.FakeFile.1 имел имя AnyName.pdf, он будет искать скрытый файл с именем .AnyName.pdf, после чего сохранит его вместо оригинального файла командой mv .AnyName.pdf AnyName.pdf. Если документ отсутствует, троян создает его и затем открывает в программе gedit.

При этом исследователи отмечают, что для работы Linux.BackDoor.FakeFile.1 не нужны root-привилегии: малварь может выполнять вредоносные функции с правами текущего пользователя, от имени учетной записи которого была запущена.

Linux.BackDoor.FakeFile.1 может выполнять следующие действия:

• передать на управляющий сервер количество сообщений, отправленных в ходе текущего соединения;
• передать список содержимого заданной папки;
• передать на управляющий сервер указанный файл или папку со всем содержимым;
• удалить каталог;
• удалить файл;
• переименовать указанную папку;
• удалить себя;
• запустить новую копию процесса;
• закрыть текущее соединение;
• организовать backconnect и запустить sh;
• завершить backconnect;
• открыть исполняемый файл процесса на запись;
• закрыть файл процесса;
• создать файл или папку;
• записать переданные значения в файл;
• получить имена, разрешения, размеры и даты создания файлов в указанной директории;
• установить права 777 на указанный файл;
• завершить выполнение бэкдора.

Источник: https://xakep.ru/2016/10/24/linux-backdoor-fakefile-1/