Shellshock_logoDie Angreifer fügen einem Blogeintrag zufolge Shellshock-Schadcode in die Felder Betreff, Absender, Empfänger und Kopie einer E-Mail ein. Erreicht eine dieser Nachrichten einen anfälligen Server, auf dem das Simple Mail Transfer Protocol (SMTP) läuft, wird der eingebettete Shellshock-Exploit ausgeführt. Danach lädt ein Server einen IRC-Bot und führt ihn ebenfalls aus. Der Bot stellt schließlich eine Verbindung zu einem IRC-Server her, der es den Hackern erlaubt, verschiedene Aktionen auf dem SMTP-Server auszuführen. Ein so kompromittierter Server lässt sich beispielsweise für den Versand von Spam-Nachrichten nutzen.

Der von den Angreifern verwendete IRC-Bot wurde in Perl programmiert. Er verbindet sich über die Ports 666, 323 und 9999 mit einem Befehlsserver. Trend Micro zufolge kann er nicht nur E-Mails verschicken und Dateien herunterladen, sondern auch Unix-Befehle ausführen, nach bestimmten Ports scannen und DDoS-Angriffe starten.