Заключительная команда touch, записанная в /etc/rc.local.d/local.sh, сбрасывает временные метки изменений и доступа к /bin/hostd-probe.sh, чтобы стереть следы непрошеного вмешательства.Anti-Malware.ru
В начало vmtools.py, тоже для отвода глаз, помещена информация об авторском праве, скопированная из легитимного Python-файла VMware.Anti-Malware.ru
Полученный пароль (хеш MD5) сверяется со вшитым значением; при совпадении выполняется оператор, соответствующий значению server_instance.Anti-Malware.ru
Поскольку IP 127.0.0.1 доступен только со скомпрометированной машины, для получения удаленного доступа автор атаки меняет настройки обратного прокси ESXi (организует проброс портов с помощью файла /etc/vmware/rhttpproxy/endpoints.conf).Anti-Malware.ru