Your browser is obsolete!

The page may not load correctly.

Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Contact us
24/7 Tech support

Send a message

Call us

+7 (495) 789-45-86

Forum
Profile

Back to news

Doctor Web wykrył trojana dla Windows infekującego urządzenia z systemem Linux

6 lutego 2017

Linux.Mirai jest obecnie najbardziej rozpowszechnionym trojanem dla Linuxa. Pierwsza wersja tego malware została dodana do baz wirusów Dr.Web pod nazwą Linux.DDoS.87 w maju 2016 roku. Od tego czasu stał się on bardzo popularny pośród twórców wirusów, a jego kod źródłowy został upubliczniony. Co więcej, w lutym 2017 analitycy bezpieczeństwa Doctor Web przebadali trojana dla Windows, który przyczynił się do dystrybucji wirusa Linux.Mirai.

Ten nowy złośliwy program został nazwany Trojan.Mirai.1. Uruchomiony, trojan łączy się ze swoim serwerem kontrolno-zarządzającym, pobiera plik konfiguracyjny i wyodrębnia z niego listę adresów IP. Następnie Trojan.Mirai.1 uruchamia skaner, który przepytuje węzły sieci wykazane w pliku konfiguracyjnym i próbuje zalogować się na nie z użyciem kombinacji loginów i haseł zamieszczonych w tym samym pliku. Skaner wirusa Trojan.Mirai.1 potrafi sprawdzać kilka portów TCP w tym samym czasie.

Jeśli trojan z powodzeniem połączy się z atakowanym węzłem po dowolnym z dostępnych protokołów, wykonuje wskazaną sekwencję poleceń. Jedynym wyjątkiem jest połączenie poprzez protokół RDP: w tym przypadku nie jest wykonywana żadna instrukcja. Oprócz tego, podczas łączenia się z urządzeniem z systemem Linux poprzez protokół Telnet, wirus pobiera na zaatakowane urządzenie plik binarny, który następnie pobiera i uruchamia trojana Linux.Mirai.

Dodatkowo Trojan.Mirai.1 potrafi wykonywać na zdalnych maszynach polecenia oparte na technologii komunikacji międzyprocesowej (inter-process communication – IPC). Trojan potrafi uruchamiać nowe procesy i tworzyć różne pliki, np. pliki pakietów Windows zawierające pewien zestaw instrukcji. Jeśli zaatakowany zdalny komputer ma zainstalowany i uruchomiony system zarządzania relacyjnymi bazami danych Microsoft SQL Server, to Trojan.Mirai.1 stworzy w jego ramach użytkownika Mssqla z hasłem Bus3456#qwein i uprawnieniami sysadmin. Działając z użyciem nazwy tego użytkownika i z pomocą usługi obsługi zdarzeń serwera SQL, trojan wykonuje różne złośliwe zadania. Tym samym trojan jest w stanie, przykładowo, uruchomić pliki wykonywalne z uprawnieniami administratora, usunąć pliki, lub osadzić ikony w folderze systemowym w celu automatycznego ich uruchomienia (lub stworzenia odpowiadających im logów w rejestrze systemowym Windows). Po połączeniu się do zdalnego serwera MySQL, trojan tworzy użytkownika MySQL z loginem phpminds i hasłem phpgod, mającego na celu osiąganie tych samych celów.

Trojan.Mirai.1 został dodany do baz wirusów Dr.Web i tym samym nie stanowi on zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2017

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A