Mirai botnet is nu voorzien van een Windows variant, Trojan.Mirai.1, zoals blijkt uit security onderzoekers van Dr. Web. De nieuwe variant is gericht op Windows en kan meer havens in gevaar brengen dan zijn Linux-tegenhanger. Trojan.Mirai.1 wordt ook infecteren ivd-apparaten en het uitvoeren van DDoS-aanvallen, als de Linux versie.
De laatste verscheen voor het eerst mei 2016, weer gedetecteerd door Doctor Web na zijn virusdatabase wordt toegevoegd onder de naam Linux.DDoS.87. Het Trojaanse paard zou kunnen werken met de SPARC, ARM, MIPS, SH-4, M68k architecturen en Intel x86-computers.
Linux.Mirai doorzocht het geheugen voor de processen van andere Trojaanse paarden en beëindigde ze op de lancering. Het Trojaanse paard creëerde vervolgens een .shinigami bestand in de map en verifieert zijn aanwezigheid regelmatig bypass beëindiging van zichzelf. De malware is ook ontworpen om verbinding te maken met een opdracht & control server voor verdere instructies.
Hoe zit het met de Windows-versie van Mirai?
Dr. Web van mening dat het werd ontwikkeld, omdat de auteurs ervan wilde ervoor zorgen dat de dreiging zich uitbreiden naar nog meer apparaten. Tot nu toe, de malware is in staat tot het infecteren van een scala van apparaten, maar tot nu toe de voorkeur routers en CCTV-camera's en DVR's. De infectie proces ging als dat: de malware geselecteerde willekeurige IP-adressen en probeerde om in te loggen via de SSH of Telnet poort via gebruik te maken van de lijst van standaard admin geloofsbrieven van het apparaat.
De Windows-versie is een Trojaans geschreven in C ++. Het lijkt te zijn ontworpen om TCP-poorten scannen vanaf het aangegeven gebied van IP-adressen om verschillende opdrachten uit te voeren en te distribueren andere malware, zoals door Dr.. web onderzoekers. eenmaal gelanceerd, Trojan.Mirai.1 een verbinding met zijn commando & Control Server en downloads "configuratiebestand (wpd.dat), en haalt de lijst met IP-adressen. "Next, lanceert de scanner en begint met het controleren voor andere havens.
Zodra een apparaat met succes in het gedrang komt, de malware draait Linux en lanceert meer commando zodat een DDoS Mirai bot wordt aangemaakt. belangwekkend, als het apparaat met Windows, de malware zal alleen de kopie vrijgeven. Ook, het creëert DMBS gebruiker via de login-ID "Mssqla en wachtwoord Bus3456 # qwein die sysadmin rechten biedt. Zodra dit alles wordt gedaan, de Windows Mirai kan verschillende taken uitvoeren via deze referenties en de SQL server event dienst. De malware is niet in staat het uitvoeren van instructies op een verbinding door de RDP-protocol.