Mirai botnet er nu blevet udstyret med en Windows-variant, Trojan.Mirai.1, som afsløret ved sikkerhedseksperter på Dr. Web. Den nye variant henvender Windows og kan kompromittere flere porte end Linux modstykke. Trojan.Mirai.1 også inficere IoT enheder og udføre DDoS-angreb, som med Linux versionen.
Sidstnævnte først dukkede op i maj 2016, igen opdaget af Doctor Web efter at være blevet føjet til sin virus database under navnet Linux.DDoS.87. Den trojanske kunne arbejde med med SPARC, ARM, MIPS, SH-4, M68k arkitekturer og Intel x86-computere.
Linux.Mirai søgte hukommelsen til de processer af andre trojanske heste og afsluttet dem på lanceringen. Den trojanske derefter skabte en .shinigami fil i sin mappe og kontrollerer sin tilstedeværelse regelmæssigt for at bypass afslutning selv. Den malware blev også designet til at forbinde til en kommando & kontrol-server for yderligere instruktioner.
Hvad med Windows-versionen af Mirai?
Dr. Web mener, at det blev udviklet, fordi dens forfattere ønskede at sikre truslen spredt sig til endnu flere enheder. Indtil nu, malware er i stand til at inficere en række enheder, men indtil nu er det foretrukne routere og CCTV-kameraer og DVR. Infektionen proces gik sådan: malware valgte tilfældige IP-adresser og forsøgte at logge ind via SSH eller Telnet-porten via udnytte enhedens liste over standard admin legitimationsoplysninger.
Windows-versionen er en trojansk skrevet i C ++. Det synes at have været designet til at scanne TCP-portene fra det angivne interval af IP-adresser til at udføre forskellige kommandoer og distribuere andre malware, som forklaret af Dr. Web forskere. Når lanceret, Trojan.Mirai.1 etablerer en forbindelse med sin kommando & kontrol-server og downloads "konfigurationsfil (wpd.dat), og uddrager listen over IP-adresser. "Next, Det lancerer scanneren og begynder at kontrollere for andre havne.
Når en enhed er med succes kompromitteret, malware kører Linux og lancerer mere kommando, så et DDoS Mirai bot er skabt. Interessant, hvis enheden kører Windows, malware vil kun frigive sin kopi. Også, det skaber DMBS bruger via login-id "Mssqla og password Bus3456 # qwein som giver Systemadministrator- rettigheder. Når alt dette er gjort, Windows Mirai kan udføre forskellige opgaver via disse legitimationsoplysninger og SQL server begivenhed tjeneste. Den malware er ikke stand til at udføre på enhver forbindelse via RDP-protokollen.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: