Mirai botnet è stato ora dotato di una variante di Windows, Trojan.Mirai.1, come rivelato da ricercatori di sicurezza a Dr. Tela. La nuova variante si rivolge Windows e può compromettere più porte rispetto alla sua controparte di Linux. Trojan.Mirai.1 è anche infettando dispositivi internet degli oggetti e la realizzazione di attacchi DDoS, come con la versione Linux.
Quest'ultimo prima apparizione maggio 2016, ancora una volta rilevato da Doctor Web dopo essere stato aggiunto al suo database dei virus con il nome Linux.DDoS.87. Il Trojan potrebbe lavorare con il SPARC, BRACCIO, MIPS, SH-4, architetture m68k e computer Intel x86.
Linux.Mirai cercato la memoria per i processi di altri Trojan e risolto con il suo lancio. Il Trojan crea un file .shinigami nella sua cartella e verifica la sua presenza regolare di by-pass che chiude in sé. Il malware è stato inoltre progettato per la connessione a un comando & server di controllo per ulteriori istruzioni.
Che cosa circa la versione Windows di Mirai?
Dr. Web ritiene che esso è stato sviluppato perché i suoi autori hanno voluto assicurarsi che la diffusione minaccia di ancora più dispositivi. Finora, il malware è in grado di infettare una vasta gamma di dispositivi, ma fino ad ora ha preferito router e telecamere a circuito chiuso e DVR. Il processo di infezione è andato in quel modo: il malware selezionato indirizzi IP casuali e ha cercato di accedere tramite SSH o Telnet tramite la porta utilizzando la lista del dispositivo di credenziali di amministratore di default.
La versione per Windows è un Trojan scritto in C ++. E sembra essere stato progettato per la scansione porte TCP dalla gamma di indirizzi IP indicato per eseguire vari comandi e distribuire altri tipi di malware, come spiegato dal Dott. ricercatori Web. Una volta lanciata, Trojan.Mirai.1 stabilisce una connessione con il suo comando & server di controllo e download "del file di configurazione (wpd.dat), ed estrae l'elenco di indirizzi IP. "Avanti, si lancia lo scanner e avvia il controllo per altre porte.
Una volta che un dispositivo è compromesso con successo, il malware viene eseguito Linux e lancia più comando in modo che si crea un bot DDoS Mirai. È interessante notare che, se il dispositivo è in esecuzione Windows, il malware rilascerà solo la sua copia. Anche, crea utente DMBS tramite l'ID di accesso "Mssqla e password Bus3456 # qwein fornitrice di diritti di amministratore di sistema. Una volta che tutto questo è fatto, Windows Mirai può realizzare le varie funzioni tramite queste credenziali e il servizio eventi di SQL Server. Il malware non è in grado di eseguire le istruzioni su qualsiasi connessione attraverso il protocollo RDP.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: