Windows-троянец, распространяющий угрозу для Linux

По сообщению компании «Доктор Веб», ее специалисты исследовали троянца для OC Windows, способствующего распространению Linux.Mirai – самого «популярного» на сегодня троянца для ОС семейства Linux. Первая версия этой вредоносной программы была добавлена в вирусные базы компании под именем Linux.DDoS.87 еще в мае 2016 г. С тех пор она получила широкое распространение, поскольку ее исходные коды были выложены в свободном доступе.

Новый троянец получил название Trojan.Mirai.1. При запуске он соединяется со своим управляющим сервером, скачивает оттуда конфигурационный файл и извлекает из него список IP-адресов. Затем Trojan.Mirai.1 запускает сканер, который обращается к сетевым узлам по адресам из конфигурационного файла и пытается авторизоваться на них с заданным в том же файле сочетанием логина и пароля. Сканер Trojan.Mirai.1 умеет опрашивать несколько TCP-портов одновременно.

Если троянцу удается соединиться с атакуемым узлом по любому из доступных протоколов, он выполняет указанную в конфигурации последовательность команд. Исключение составляют лишь соединения по протоколу RDP – в этом случае никакие инструкции не выполняются. Кроме того, при подключении по протоколу Telnet к устройству под управлением Linux троянец загружает на скомпрометированное устройство бинарный файл, который, в свою очередь, скачивает и запускает программу Linux.Mirai.

Trojan.Mirai.1 может также выполнять на удаленной машине команды, использующие технологию межпроцессного взаимодействия (inter-process communication, IPC). Троянец умеет запускать новые процессы и создавать различные файлы, например, пакетные файлы Windows с тем или иным набором инструкций. Если на атакованном удаленном компьютере работает Microsoft SQL Server, Trojan.Mirai.1 создает в ней пользователя Mssqla с паролем Bus3456#qwein и привилегиями sysadmin. От имени этого пользователя при помощи службы SQL server job event автоматически выполняются различные задачи. Таким способом троянец, например, запускает по расписанию исполняемые файлы с правами администратора, удаляет файлы или помещает какие-либо ярлыки в системную папку автозагрузки (либо создает соответствующие записи в системном реестре Windows). Подключившись к удаленному MySQL-серверу, троянец с аналогичными целями создает пользователя СУБД MySQL с именем phpminds и паролем phpgod.