"TEA" är en SSH-klientmask som utnyttjar en falsk SSH-klient för att manipulera tty-in-/utdata, exekvera godtyckliga kommandon och ladda upp sig själv via SSH-anslutningar. För att fungera kräver masken specifika förhållanden på fjärrmaskinen, såsom visning av "last login"-meddelandet, tillgång till dd och stty, att målanvändaren använder bash, samt skrivbarhet till ~/.bashrc. Lokal infektion sker genom att skapa en katalog, kopiera SSH-binären och sätta ett alias i ~/.bashrc för att omdirigera ssh-kommandot till den falska klienten. Masken sprider sig genom att infektera fjärrmaskiner som uppfyller kraven vid en SSH-anslutning, vilket leder till en kaskadeffekt av infektioner. Artikeln beskriver även hur man avinstallerar masken, kompileringsinstruktioner (rekommenderar musl-libc för mindre binär) och en enkel serverkomponent för att hantera anslutningar.