Trinity v3 no es un virus, por lo que se cree que hackers instalan la herramienta forzando su entrada en el sistema de Linux que desean usar a modo de zombie para canalizar el ataque.
Cuatrocientos zombies son suficientes para tumbar un gran sitio de comercio electrónico, si es que no tienen las herramientas de detección de intrusión apropiadas, dijo Chris Rouland, director de X-Force.
Los ataques denial-of-service desbordan los servidores y atacan a las máquinas con más tráfico del que los sistemas pueden soportar, por lo pueden apagar todas las respuestas válidas de los sistemas.
De acuerdo a X-Force, Trinity es controlado vía IRC (Internet Relay Chat), y en la versión que fue examinada, el agente binario es instalado en un sistema Linux en /usr/lib/idle.so.
Cuando idle.co es iniciado, se contecta a un servidor Undernet IRC en puerto 6667.
Debido a que Trinity no escucha en ningún puerto, es difícil de detectar las actividades de las herramientas a menos que los administradores de los sistemas busquen el tráfico sospechoso en IRC.
