Anot SANS, į sistemą patekęs kirminas nusiunčia katalogų “/etc/passwd, /etc/shadow” turinį ir dar kai kuriuos tinklo parametrus adresu “china.com”. Be to jis ištrina katalogą “/etc/hosts.deny”, sumažindamas TCP protokolo apsaugą.
Portai “60008/tcp” ir “33567/tcp” tampa “atsarginių durų” pagrindine terpe, o perdirbta įsilaužimams “ssh” programa patalpinama “33568/tcp” porte. SANS straipsnyje pažymima, kad tuo metu priėjimas prie sistemos yra pažeistas, o prisijungimo vardais ir slaptažodžiais pasitikėti jau nebegalima.
Įdiegiama virusu užkrėsta prisijungimo prie sistemos programa. Ji ieško slaptažodžio kataloge “/etc/ttyhash”, o vietoj “/usr/sbin/nscd” (Name Service Caching daemon) yra įdiegiama apkrėsta virusu “ssh” programa. “t0rn rootkit” pakeičia kai kuriuos sistemos parametrus taip, kad ji negalėtų aptikti viruso.
SANS išplatino programą, aptinkančią “Lion” ir be to ragina sistemų administratorius “užkamšyti” BIND skyles.