DLA UŻYTKOWNIKÓW

Zamknij

Library
My library

+ Add to library

Search
Search

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

A query form

Call us

+7 (495) 789-45-86

Forum
Profile

PL

RU CN DE EN ES FR IT JP KZ UZ PL BY
Zamknij
Wiadomości

Wiadomości według tematów

Przeglądy
Banery informacyjne
Centrum prasowe

Wróć do listy aktualności

Doctor Web wykrył trojana dla Windows infekującego urządzenia z systemem Linux

6 lutego 2017

Linux.Mirai jest obecnie najbardziej rozpowszechnionym trojanem dla Linuxa. Pierwsza wersja tego malware została dodana do baz wirusów Dr.Web pod nazwą Linux.DDoS.87 w maju 2016 roku. Od tego czasu stał się on bardzo popularny pośród twórców wirusów, a jego kod źródłowy został upubliczniony. Co więcej, w lutym 2017 analitycy bezpieczeństwa Doctor Web przebadali trojana dla Windows, który przyczynił się do dystrybucji wirusa Linux.Mirai.

Ten nowy złośliwy program został nazwany Trojan.Mirai.1. Uruchomiony, trojan łączy się ze swoim serwerem kontrolno-zarządzającym, pobiera plik konfiguracyjny i wyodrębnia z niego listę adresów IP. Następnie Trojan.Mirai.1 uruchamia skaner, który przepytuje węzły sieci wykazane w pliku konfiguracyjnym i próbuje zalogować się na nie z użyciem kombinacji loginów i haseł zamieszczonych w tym samym pliku. Skaner wirusa Trojan.Mirai.1 potrafi sprawdzać kilka portów TCP w tym samym czasie.

Jeśli trojan z powodzeniem połączy się z atakowanym węzłem po dowolnym z dostępnych protokołów, wykonuje wskazaną sekwencję poleceń. Jedynym wyjątkiem jest połączenie poprzez protokół RDP: w tym przypadku nie jest wykonywana żadna instrukcja. Oprócz tego, podczas łączenia się z urządzeniem z systemem Linux poprzez protokół Telnet, wirus pobiera na zaatakowane urządzenie plik binarny, który następnie pobiera i uruchamia trojana Linux.Mirai.

Dodatkowo Trojan.Mirai.1 potrafi wykonywać na zdalnych maszynach polecenia oparte na technologii komunikacji międzyprocesowej (inter-process communication – IPC). Trojan potrafi uruchamiać nowe procesy i tworzyć różne pliki, np. pliki pakietów Windows zawierające pewien zestaw instrukcji. Jeśli zaatakowany zdalny komputer ma zainstalowany i uruchomiony system zarządzania relacyjnymi bazami danych Microsoft SQL Server, to Trojan.Mirai.1 stworzy w jego ramach użytkownika Mssqla z hasłem Bus3456#qwein i uprawnieniami sysadmin. Działając z użyciem nazwy tego użytkownika i z pomocą usługi obsługi zdarzeń serwera SQL, trojan wykonuje różne złośliwe zadania. Tym samym trojan jest w stanie, przykładowo, uruchomić pliki wykonywalne z uprawnieniami administratora, usunąć pliki, lub osadzić ikony w folderze systemowym w celu automatycznego ich uruchomienia (lub stworzenia odpowiadających im logów w rejestrze systemowym Windows). Po połączeniu się do zdalnego serwera MySQL, trojan tworzy użytkownika MySQL z loginem phpminds i hasłem phpgod, mającego na celu osiąganie tych samych celów.

Trojan.Mirai.1 został dodany do baz wirusów Dr.Web i tym samym nie stanowi on zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments