在攻击中，Skidmap恶意软件通过Linux下的计划任务crontab命令进行主程序的下载和安装，在安装过程中，会修改目标系统的安全设置，降低安全属性，以便顺利完成自身的安装。其通过两种方式获得系统的访问权限：一是在系统的authorizde_keys文件中写入密钥，系统认证通过后即可访问目标主机；二是替换系统的pam_unix.so文件，该文件用于系统认证的过程，该文件被替换后，攻击者可以用指定的密码进行登录。Skidmap的主程序运行后，会检测感染的系统是否为Debian或者RHEL/CentOS：若目标系统是Debian，则会在指定目录下释放挖矿程序；若目标系统是RHEL/CentOS，会从远程服务器下载含有挖矿和其他多种功能组件的压缩包，再进行解压缩和安装。除挖矿功能外，Skidmap还具有如下功能：一是替换系统程序，其通过建立计划任务来下载并替换系统的rm程序；二是在指定目录下安装名为“kaudited”的恶意程序，运行后会释放多个内核程序（LKM），还会释放监视程序来监视挖矿进程；三是挂钩系统调用，以便隐藏恶意程序；四是通过Rootkit伪造系统的网络流量统计和CPU使用率，这样可以迷惑用户，在挖矿程序运行时不会被察觉。

建议我国用户尤其是使用Linux系统的用户及时修补漏洞，不要随意运行来历不明的程序，做好网络安全防护措施，谨防类似的攻击活动。