Новая версия трояна для Windows, заражающего Linux-системы

Недавно известная компания «Доктор Веб» провела анализ троянской программы, работающей в Windows и распространяющей троян для Linux. Linux.Mirai уже более 9 месяцев прочно удерживает первенство по популярности среди зловредов, в антивирусных базах она была внесена еще в середине 1 квартала 2016 года как Linux.DDoS.87. Основной причиной популярности данного трояна является наличие исходных текстов на многих специализированных сайтах.

Измененная версия троянской программы сохранена в антивирусных базах как Trojan.Mirai.1. Логика его действий проста – попав на Windows-систему, он подключается к своему серверу и скачивает файл конфигурации, в котором находится база IP-адресов, логинов и паролей. Затем он проводит сканирование скачанных адресов, пытаясь войти в систему с учетными данными из файла. Важной особенностью Trojan.Mirai.1 является поддержка параллельного сканирования нескольких портов.

При соединении с удаленным хостом он запускает записанные команды из файла конфигурации. Если соединение состоялось по RDP-протоколу – оно игнорируется. При входе в систему Linux по протоколу Telnet  троян опять обращается к своему серверу и подгружает исполняемый файл, который загружает и запускает на выполнение Linux.Mirai.

Trojan.Mirai.1 запускает на выполнение команды по технологии IPC от имени администратора. Кроме того, он способен работать с системными процессами Windows, создавать bat-файлы и записывать в них команды. Первым делом троян проверяет, работает ли на указанной системе MS SQL Server. Если он обнаружен, вирус создает в системе пользователя с правами администратора и паролем Bus3456#qwein. Именно от него создаются и выполняются процессы на зараженном компьютере с использованием службы планировщика заданий.

Командные файлы выполняются от имени администратора, позволяя создавать записи в реестре про автозагрузку программ, удалять файлы, менять настройки системы. Так, первым делом он помещает ярлык для своего запуска в папку «Автозагрузка». В случае обнаружения сервера MySQL, вирус внедряется в систему под именем phpminds и паролем phpgod, выполняя аналогичные действия от имени администратора.

Спасибо за внимательность!
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.