ابتدا کارشناسان موسسه SANS بودند که درباره رفتار غیرمتعارف روترهای E1000 و E1200 شرکت Linksys هشدار دادند. براساس مشاهدات این کارشناسان، روترها اقدام به اسکن نشانی های IP بر روی درگاه های 80 و 8080 می کردند. تحقیقات بیشتر نشان داد بدافزار جدیدی که قادر به نفوذ به این روترها شده است، عامل اصلی این رفتار غیرعادی است. این بدافزار پس از رخنه به روترها از این تجهیزات برای شناسایی تجهیزات آسیب پذیر دیگر در شبکه سوءاستفاده می کرده است.
برای این بدافزار جدید نام Moon انتخاب شده است. در برنامه این بدافزار علامت یک شرکت تخیلی به نام Lunar Industries از فیلم سینمایی The Moon مشاهده شده است.
بدافزار Moon ابتدا یک درخواست براساس پودمان HNAP یا Home Network Administration Protocol به نشانی های IP که اسکن کرده است، می فرستد. پودمان HNAP توسط شرکت Cisco ابداع شده و از آن برای شناسایی، تنظیم و مدیریت تجهیزات شبکه استفاده می شود.
بدافزار Moon درخواست HNAP را می فرستد تا بتواند مدل روترهای دیگر را شناسایی کند و متوجه شود که آیا آن روترها آسیب پذیر هستند و آیا می توان از نقاط ضعف آنها برای نفوذ سوءاستفاده کرد یا خیر. در صورت مناسب تشخیص دادن یک روتر، بدافزار Moon یک درخواست دیگر به یک CGI Script فعال بر روی آن روتر می فرستد تا امکان اجرای فرمان های محلی بر روی دستگاه فراهم شود. با توجه به اینکه نقطه ضعف مورد سوء استفاده بدافزار Moon مربوط به بخش احراز هویت می شود، ماهیت دقیق این CGI Script منتشر نشده است.
بدافزار Moon با سوءاستفاده از این نقطه ضعف یک فایل اجرایی با قالب ELF یا Executable And Linkable Format را بر روی روترهای آسیب پذیری که شناسایی کرده، دریافت و اجرا می کند. پس از آن، این روترها نیز شروع به جستجوی روترهای آسیب پذیر بیشتری می کنند.
این فایل اجرایی ELF حاوی 670 بازه از نشانی های IP است که عمدتا توسط شرکتهای سرویس دهنده اینترنت در کشورهای مختلف برای سرویس های Cable یا DSL استفاده می شوند.
در حال حاضر مشخص نیست که هدف بدافزار Moon به غیر از انتشار و آلودگی بیشتر روترهای Linksys، چیست. ارتباط این بدافزار با یک مرکز فرماندهی و کنترل می تواند علامتی از یک شبکه مخرب Botnet باشد که با استفاده از روترهای تسخیر شده (Bot) برای انجام عملیات مخرب هماهنگ و برنامه ریزی شده ای در آینده، تشکیل شده است.
شرکت Linksys وجود نقطه ضعفی که توسط بدافزار Moon مورد سوءاستفاده قرار گرفته را تائید و اعلام کرده که به زودی اصلاحیه ای برای رفع آن منتشر خواهد کرد.
لازم به توضیح است که تنها بر روی روترهایی که برای مدیریت از راه دور تنظیم شده اند، امکان سوءاستفاده از نقطه ضعف و انتشار بدافزار Moon وجود دارد.