LINUX.ORG.RU

«Доктор Веб» обнаружил Windows-троянца, заражающего Linux-устройства

 , ,


0

3

Linux.Mirai — самый распространенный на сегодняшний день троянец для операционных систем семейства Linux. Первая версия этой вредоносной программы была добавлена в вирусные базы Dr.Web под именем Linux.DDoS.87 еще в мае 2016 года. С тех пор она приобрела большую популярность у вирусописателей, поскольку ее исходные коды были опубликованы в свободном доступе. А в феврале текущего года специалисты компании «Доктор Веб» исследовали троянца для OC Windows, способствующего распространению Linux.Mirai.

Новая вредоносная программа получила наименование Trojan.Mirai.1. При запуске троянец соединяется со своим управляющим сервером, скачивает оттуда конфигурационный файл и извлекает из него список IP-адресов. Затем Trojan.Mirai.1 запускает сканер, который обращается к сетевым узлам по адресам из конфигурационного файла и пытается авторизоваться на них с заданным в том же файле сочетанием логина и пароля. Сканер Trojan.Mirai.1 умеет опрашивать несколько TCP-портов одновременно.

Если троянцу удается соединиться с атакуемым узлом по любому из доступных протоколов, он выполняет указанную в конфигурации последовательность команд. Исключение составляют лишь соединения по протоколу RDP — в этом случае никакие инструкции не выполняются. Помимо этого, при подключении по протоколу Telnet к устройству под управлением Linux он загружает на скомпрометированное устройство бинарный файл, который в свою очередь скачивает и запускает вредоносную программу Linux.Mirai.

Кроме того, Trojan.Mirai.1 может выполнять на удаленной машине команды, использующие технологию межпроцессного взаимодействия (inter-process communication, IPC). Троянец умеет запускать новые процессы и создавать различные файлы – например, пакетные файлы Windows с тем или иным набором инструкций. Если на атакованном удаленном компьютере работает система управления реляционными базами данных Microsoft SQL Server, Trojan.Mirai.1 создает в ней пользователя Mssqla с паролем Bus3456#qwein и привилегиями sysadmin. От имени этого пользователя при помощи службы SQL server job event автоматически выполняются различные вредоносные задачи. Таким способом троянец, например, запускает по расписанию исполняемые файлы с правами администратора, удаляет файлы или помещает какие-либо ярлыки в системную папку автозагрузки (либо создает соответствующие записи в системном реестре Windows). Подключившись к удаленному MySQL-серверу, троянец с аналогичными целями создает пользователя СУБД MySQL с именем phpminds и паролем phpgod.

Подробности

Перемещено Shaman007 из security

anonymous

Если на атакованном удаленном компьютере работает система управления реляционными базами данных Microsoft SQL Server, Trojan.Mirai.1 создает в ней пользователя Mssqla с паролем Bus3456#qwein и привилегиями sysadmin.

Подключившись к удаленному MySQL-серверу, троянец с аналогичными целями создает пользователя СУБД MySQL с именем phpminds и паролем phpgod.

все так просто :)

а оракл чем не нравится?

Rastafarra ★★★ ()

Опять очередной бред. «Ну купите нашу шнягу, ну пожалуйста.» :))))

trueshell ★★★★★ ()
Последнее исправление: trueshell (всего исправлений: 1)

Все таки Dr. Web видит широкие перспективы в создании вирусов под Linux, так что я бы не стал недооценивать...

Venediktov ()
Ответ на: комментарий от Venediktov

Вон у авы измени, АТО на тёмном фоне выглядит стрёмненько.

Ygor ★★★★ ()

Я так понимаю это отлично работает на 0,1% среди впринципе 1% пользаков линя. Или вы думаете пароль qwerty больше чем у 0,1% линуксоидов?
P.S. Мы тут написали такую шнягу, поэтому купите у нас нашу другую шнягу.

Promusik ★★★ ()
Последнее исправление: Promusik (всего исправлений: 1)

зачем здесь эта простыня текста? где исходники, инструкция по сборке, ебилд на худой конец?

upcFrost ★★★★★ ()

С тех пор она приобрела большую популярность у вирусописателей, поскольку ее исходные коды были опубликованы в свободном доступе

Надеюсь, под GPL?

aplay ★★★★ ()

С тех пор она приобрела большую популярность у вирусописателей, поскольку ее исходные коды были опубликованы в свободном доступе.

Зато опенсорс.

h578b1bde ★☆ ()
Ответ на: комментарий от Ygor

не пофигу, на каком фоне овальный

Он на любом выглядит стремно.

svr4 ()

ее исходные коды были опубликованы в свободном доступе.

Тогда всё в порядке :)

najlus ★★★★★ ()

Чё там, ебилды с пкгбилдами скоро выйдут?

raven_cler ()

пытается авторизоваться на них с заданным в том же файле сочетанием логина и пароля

Успехов и удачи в его нелёгком труде.

redgremlin ★★★★★ ()
Ответ на: комментарий от upcFrost

где исходники, инструкция по сборке, ебилд на худой конец?

В прошлом году была новость о том, что открыли исходники софта для создания ботнетов. Тоже назывался Mirai, и функциональность та же была. Если это про него, то исходники и инструкции по сборке легко гуглятся.

i-rinat ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)