Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Doctor Web ha scoperto un trojan Windows che infetta dispositivi Linux

6 febbraio 2017

Linux.Mirai — attualmente il può diffuso trojan per i sistemi operativi della famiglia Linux. La prima versione di questo programma malevolo venne aggiunta ai database dei virus Dr.Web sotto il nome Linux.DDoS.87 a maggio 2016. Fin d'allora ha guadagnato una grande popolarità tra gli autori dei virus in quanto i suoi codici sorgente erano stati collocati in pubblico dominio. A febbraio 2017 gli specialisti Doctor Web hanno studiato un trojan per SO Windows che contribuisce alla diffusione di Linux.Mirai.

Il nuovo programma malevolo è stato denominato Trojan.Mirai.1. All'avvio il trojan si connette con il suo server di gestione, scarica un file di configurazione ed estrae da quest'ultimo un elenco di indirizzi IP. Quindi Trojan.Mirai.1 lancia uno scanner che comunica con nodi di rete sugli indirizzi elencati nel file di configurazione e cerca di autenticarsi su di loro, utilizzando una combinazione di login e password impostata nello stesso file. Lo scanner di Trojan.Mirai.1 può interrogare diverse porte TCP allo stesso tempo.

Se il trojan ha potuto stabilire una connessione con un nodo attaccato tramite qualsiasi dei protocolli disponibili, esegue una sequenza di comandi indicata nella configurazione. Eccetto le connessioni attraverso il protocollo RDP — in tale caso il trojan non esegue alcune istruzioni. Oltre a ciò, se il trojan si connette attraverso il protocollo Telnet a un dispositivo con SO Linux, carica sul dispositivo compromesso un file binario che a sua volta scarica e lancia il programma malevolo Linux.Mirai.

Inoltre, Trojan.Mirai.1 può eseguire sulla macchina remota comandi che utilizzano la tecnologia di comunicazione tra processi (inter-process communication, IPC). Il trojan può avviare nuovi processi e creare vari file – per esempio file batch di Windows con un determinato insieme di istruzioni. Se sul computer remoto sotto attacco funziona il sistema di gestione dei database relazionali Microsoft SQL Server, Trojan.Mirai.1 ci crea un utente Mssqla con la password Bus3456#qwein e i privilegi sysadmin. Sotto questo account tramite il servizio SQL server job event vengono eseguiti in automatico vari task malevoli. In questo modo il trojan, ad esempio, avvia secondo un calendario file eseguibili con i privilegi di amministratore, rimuove file o colloca qualche scorciatoia nella cartella di avvio automatico di sistema (o crea i relativi record nel registro di sistema di Windows). Collegandosi a un server MySQL remoto, il trojan, con obiettivi simili, crea un utente di DBMS MySQL con il nome phpminds e la password phpgod.

Trojan.Mirai.1 è stato aggiunto ai database di virus Dr.Web e perciò non rappresenta alcun rischio per i nostri utenti.

Informazioni sul trojan

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A