De ki volt az aki először lefuttatta a curl/wget-et. És miért?
Update: bocsánat, megnéztem az egyik képet (jpeg?), amit töltöget a rootkit és a nod32 megfogta, ezzel: https://www.virusradar.com/en/Linux_CoinMiner/detail. Szóval ez lehetett egy kép is, ami be foglt ágyazva valami hirdetésbe... grrrr.