6 de febrero de 2017
El nuevo programa nocivo fue llamado Trojan.Mirai.1. Al iniciarse, el troyano se conecta a su servidor de control, descarga el archivo de configuración del mismo y extrae la lista de direcciones IP del mismo. Luego Trojan.Mirai.1 inicia el servidor que consulta los nodos de red por las direcciones del archivo de configuración e intenta autorizarse en los mismos con la combinación del nombre de usuario y la contraseña establecidos en el mismo archivo. El escáner Trojan.Mirai.1 puede sondear varios puertos TCP al mismo tiempo.
Si el troyano consigue conectarse al nodo atacado por algún protocolo disponible, ejecute la secuencia de comandos indicada en la configuración. La única excepción son las conexiones por protocolo RDP — en este caso, no se realiza ninguna instrucción, Además, al conectarse por protocolo Telnet al dispositivo administrado por Linux, descarga en el dispositivo comprometido un archivo binario que a su vez descarga e inicia el programa nocivo Linux.Mirai.
Además, Trojan.Mirai.1 puede ejecutar los comandos que usan la tecnología de comunicación entre procesadores (inter-process communication, IPC) en un equipo remoto. El troyano sabe iniciar los nuevos procesos y crear varios archivos – por ejemplo, los archivos batch Windows con algún conjunto de instrucciones. Si en el equipo remoto atacado funciona el sistema de administración de las bases de datos relacionales Microsoft SQL Server, Trojan.Mirai.1 crea en la misma un usuario Mssqla con la contraseña Bus3456#qwein y privilegios sysadmin. En nombre de este usuario, usando el servicio SQL server job event, se realizan automáticamente varias tareas nocivas. De esta forma el troyano, por ejemplo, inicia por programación los archivos ejecutables con permisos de administrador, borra los archivos o mueve algunos accesos directos a la carpeta de sistema de autoinicio (o crea las entradas correspondientes en el registro de sistema Windows). Al conectarse al servidor MySQL remoto, el troyano con el mismo objetivo crea un DBMS usuario MySQL con el nombre phpminds y la contraseña phpgod.
Trojan.Mirai.1 fue añadido a las bases de virus Dr.Web y por lo tanto no es peligroso para nuestros usuarios.
Nos importa su opinión
Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.
Otros comentarios