Mirai botnet a été équipé d'une variante de Windows, Trojan.Mirai.1, tel que révélé par les chercheurs en sécurité au Dr. toile. La nouvelle variante cible Windows et peut compromettre plus de ports que son homologue Linux. Trojan.Mirai.1 est également infecter les appareils IdO et mener des attaques DDoS, comme avec la version Linux.
Ce dernier est apparu première fois en mai 2016, à nouveau détecté par Doctor Web après avoir été ajouté à sa base de données de virus sous le nom Linux.DDoS.87. Le cheval de Troie pourrait travailler avec le SPARC, BRAS, MIPS, SH-4, architectures m68k et les ordinateurs Intel x86.
Linux.Mirai fouillé la mémoire pour les processus d'autres chevaux de Troie et les résiliée lors de son lancement. Le cheval de Troie crée ensuite un fichier .shinigami dans son dossier et vérifie sa présence régulièrement bypass se terminant. Le malware a également été conçu pour se connecter à une commande & serveur de contrôle pour obtenir des instructions.
Qu'en est-il de la version Windows du Mirai?
Dr. Web croit qu'il a été développé parce que ses auteurs voulaient s'assurer la propagation de menace pour encore plus de dispositifs. Jusqu'ici, le malware est capable d'infecter une gamme d'appareils, mais jusqu'à maintenant, il préfère les routeurs et les caméras de vidéosurveillance et DVR. Le processus d'infection est allé comme ça: le malware sélectionné des adresses IP aléatoires et a essayé de se connecter via SSH ou le port Telnet via l'utilisation de la liste de l'appareil de défaut des informations d'identification d'administration.
La version Windows est un cheval de Troie écrit en C ++. Il semble avoir été conçu pour scanner les ports TCP de la gamme d'IP indiquée adresse à exécuter diverses commandes et distribuer d'autres logiciels malveillants, comme expliqué par le Dr. chercheurs Web. Une fois lancé, Trojan.Mirai.1 établit une connexion avec sa commande & serveur de contrôle et téléchargements "fichier de configuration (wpd.dat), et extrait la liste des adresses IP. "Next, il lance le scanner et commence à vérifier pour d'autres ports.
Une fois qu'un dispositif est compromis avec succès, le malware fonctionne sous Linux et lance plus de commande de sorte qu'un bot DDoS Mirai est créé. Intéressant, si l'appareil fonctionne sous Windows, le malware ne publiera sa copie. Aussi, il crée l'utilisateur DMBS via l'ID de connexion "Mssqla et mot de passe Bus3456 # qwein qui prévoit des droits sysadmin. Une fois que tout cela est fait, Mirai Windows peut effectuer diverses tâches via ces informations d'identification et le service d'événement de serveur de SQL. Le malware est pas capable d'exécuter des instructions sur toute connexion via le protocole RDP.