Mirai botnet agora foi equipado com uma variante do Windows, Trojan.Mirai.1, como revelado por pesquisadores de segurança para o Dr.. Rede. A nova variante tem como alvo o Windows e pode comprometer mais portas do que suas contrapartes Linux. Trojan.Mirai.1 também está infectando dispositivos da Internet das coisas e realizar ataques DDoS, Tal como acontece com a versão Linux.
O último apareceu primeiramente em maio 2016, novamente detectado por Doctor Web depois de ser adicionado ao seu banco de dados de vírus sob o nome Linux.DDoS.87. O Trojan poderia trabalhar com com o SPARC, BRAÇO, MIPS, SH-4, arquiteturas m68k e computadores Intel x86.
Linux.Mirai procurou a memória para os processos de outros Trojans e encerrou-os sobre o seu lançamento. O Trojan, então, criado um arquivo .shinigami em sua pasta e verifica a sua presença regularmente para desvio terminando em si. O malware também foi projetado para conectar-se a um comando & servidor de controle para obter mais instruções.
O que sobre a versão Windows do Mirai?
Dr. Web acredita que ele foi desenvolvido porque os seus autores queriam certificar-se da ameaça se espalhar para ainda mais dispositivos. Até agora, o malware é capaz de infectar uma variedade de dispositivos, mas até agora preferido routers e câmaras CCTV e DVR. O processo de infecção foi assim: o malware selecionado endereços IP aleatórios e tentou fazer login através do SSH ou a porta Telnet via utilizando lista de credenciais de administrador padrão do dispositivo.
A versão para Windows é um Trojan escrito em C ++. Ele parece ter sido projetado para digitalizar portas TCP a partir do intervalo indicado de endereços IP para executar vários comandos e distribuir outros tipos de malware, conforme explicado por Dr.. pesquisadores da web. Uma vez lançado, Trojan.Mirai.1 estabelece uma conexão com o seu comando & servidor de controle e downloads “arquivo de configuração (wpd.dat), e extrai a lista de endereços IP.”Next, lança o scanner e inicia a verificação de outros portos.
Uma vez que um dispositivo é comprometida com sucesso, o malware roda Linux e lançamentos de mais de comando para que um bot DDoS Mirai é criado. Curiosamente, se o dispositivo está executando o Windows, o malware só irá liberar sua cópia. Além disso, ele cria usuário DMBs através do ID de login “Mssqla e senha Bus3456 # qwein que fornece direitos sysadmin. Uma vez que tudo isso é feito, o Mirai do Windows pode realizar várias tarefas através destas credenciais e o serviço de eventos do servidor SQL. O malware não é capaz de executar instruções em qualquer ligação por meio do protocolo RDP.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: