Обнаружено вредоносное ПО для Windows, распространяющее троян Mirai

Исследователи компании «Доктор Веб» обнаружили троян для Windows, способствующий распространению самого популярного на сегодняшний день Linux-трояна – Mirai. Вредонос, получивший название Trojan.Mirai.1, написан на языке C++ и способен сканировать TCP-порты в заданном диапазоне IP-адресов с целью выполнения различных команд и распространения другого вредоносного ПО.

Trojan.Mirai.1 работает следующим образом. При запуске троян подключается к своему C&C-серверу и получает от него конфигурационный файл со списком IP-адресов и парами учетных данных. Далее вредонос запускает сканер, обращающийся к сетевым узлам по указанным IP-адресам и пытающийся авторизоваться на них с помощью логинов и паролей из конфигурационного файла. Примечательно, сканер способен обращаться к нескольким TCP-портам одновременно.

В случае удачной авторизации по какому-либо доступному протоколу троян выполняет указанную в конфигурации последовательность команд. Если подключение осуществляется по протоколу RDP, команды не выполняются. При подключении по Telnet к устройству под управлением Linux вредонос загружает бинарный файл, скачивающий и запускающий троян Mirai.

Trojan.Mirai.1 способен также выполнять на удаленном компьютере команды, использующие межпроцессное взаимодействие (IPC). Вредонос может запускать новые процессы и создавать разнообразны файлы. Если троян обнаруживает на инфицированном компьютере Microsoft SQL Server, он регистрирует пользователя Mssqla с паролем Bus3456#qwein и привилегиями администратора. Используя службу SQL server job event, от его имени вредонос автоматически выполняет разные вредоносные задачи.