Обнаружен Windows-троян, заражающий Linux-устройства

Софт Свободное ПО Софт Безопасность Пользователю
мобильная версия
, Текст: Татьяна Короткова

Специалисты компании «Доктор Веб» исследовали трояна для OC Windows, способствующего распространению другой троянской программы для операционных систем семейства Linux. Первая версия данного зловреда была добавлена в вирусные базы Dr.Web под именем Linux.DDoS.87 еще в мае 2016 г. С тех пор она приобрела большую популярность у вирусописателей, поскольку ее исходные коды были опубликованы в свободном доступе, рассказали CNews в «Доктор Веб».

Новая вредоносная программа получила наименование Trojan.Mirai.1. При запуске троян соединяется со своим управляющим сервером, скачивает оттуда конфигурационный файл и извлекает из него список IP-адресов. Затем Trojan.Mirai.1 запускает сканер, который обращается к сетевым узлам по адресам из конфигурационного файла и пытается авторизоваться на них с заданным в том же файле сочетанием логина и пароля. Сканер Trojan.Mirai.1 умеет опрашивать несколько TCP-портов одновременно.

Если трояну удается соединиться с атакуемым узлом по любому из доступных протоколов, он выполняет указанную в конфигурации последовательность команд. Исключение составляют лишь соединения по протоколу RDP — в этом случае никакие инструкции не выполняются. Помимо этого, при подключении по протоколу Telnet к устройству под управлением Linux он загружает на скомпрометированное устройство бинарный файл, который, в свою очередь, скачивает и запускает вредоносную программу Linux.Mirai.

Кроме того, Trojan.Mirai.1 может выполнять на удаленной машине команды, использующие технологию межпроцессного взаимодействия (inter-process communication, IPC). Так, троян умеет запускать новые процессы и создавать различные файлы — например, пакетные файлы Windows с тем или иным набором инструкций. Если на атакованном удаленном компьютере работает система управления реляционными базами данных Microsoft SQL Server, Trojan.Mirai.1 создает в ней пользователя Mssqla с паролем Bus3456#qwein и привилегиями sysadmin. От имени этого пользователя при помощи службы SQL server job event автоматически выполняются различные вредоносные задачи. Таким способом троян, например, запускает по расписанию исполняемые файлы с правами администратора, удаляет файлы или помещает какие-либо ярлыки в системную папку автозагрузки (либо создает соответствующие записи в системном реестре Windows). Подключившись к удаленному MySQL-серверу, троян с аналогичными целями создает пользователя СУБД MySQL с именем phpminds и паролем phpgod.

Trojan.Mirai.1 добавлен в вирусные базы Dr.Web и потому не представляет опасности для пользователей данного продукта, утверждают в «Доктор Веб».