Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Volver a la lista de noticias

Doctor Web detectó un troyano en Windows que infecta dispositivos en Linux

6 de febrero de 2017

Linux.Mirai — es un troyano más difundido hoy día para sistemas operativos de la familia Linux. La primera versión de este programa nocivo fue añadida a las bases de virus Dr.Web bajo el nombre de Linux.DDoS.87 aún en mayo del año 2016. Desde aquel entonces, fue muy popular entre los creadores de virus, porque sus códigos fuente se publicaron en acceso libre. Y en febrero de este año los expertos de la empresa Doctor Web investigaron un troyano para el SO Windows que provoca la difusión de Linux.Mirai.

El nuevo programa nocivo fue llamado Trojan.Mirai.1. Al iniciarse, el troyano se conecta a su servidor de control, descarga el archivo de configuración del mismo y extrae la lista de direcciones IP del mismo. Luego Trojan.Mirai.1 inicia el servidor que consulta los nodos de red por las direcciones del archivo de configuración e intenta autorizarse en los mismos con la combinación del nombre de usuario y la contraseña establecidos en el mismo archivo. El escáner Trojan.Mirai.1 puede sondear varios puertos TCP al mismo tiempo.

Si el troyano consigue conectarse al nodo atacado por algún protocolo disponible, ejecute la secuencia de comandos indicada en la configuración. La única excepción son las conexiones por protocolo RDP — en este caso, no se realiza ninguna instrucción, Además, al conectarse por protocolo Telnet al dispositivo administrado por Linux, descarga en el dispositivo comprometido un archivo binario que a su vez descarga e inicia el programa nocivo Linux.Mirai.

Además, Trojan.Mirai.1 puede ejecutar los comandos que usan la tecnología de comunicación entre procesadores (inter-process communication, IPC) en un equipo remoto. El troyano sabe iniciar los nuevos procesos y crear varios archivos – por ejemplo, los archivos batch Windows con algún conjunto de instrucciones. Si en el equipo remoto atacado funciona el sistema de administración de las bases de datos relacionales Microsoft SQL Server, Trojan.Mirai.1 crea en la misma un usuario Mssqla con la contraseña Bus3456#qwein y privilegios sysadmin. En nombre de este usuario, usando el servicio SQL server job event, se realizan automáticamente varias tareas nocivas. De esta forma el troyano, por ejemplo, inicia por programación los archivos ejecutables con permisos de administrador, borra los archivos o mueve algunos accesos directos a la carpeta de sistema de autoinicio (o crea las entradas correspondientes en el registro de sistema Windows). Al conectarse al servidor MySQL remoto, el troyano con el mismo objetivo crea un DBMS usuario MySQL con el nombre phpminds y la contraseña phpgod.

Trojan.Mirai.1 fue añadido a las bases de virus Dr.Web y por lo tanto no es peligroso para nuestros usuarios.

Más información sobre el troyano

Nos importa su opinión

Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios