6 febbraio 2017

Linux.Mirai — attualmente il può diffuso trojan per i sistemi operativi della famiglia Linux. La prima versione di questo programma malevolo venne aggiunta ai database dei virus Dr.Web sotto il nome Linux.DDoS.87 a maggio 2016. Fin d'allora ha guadagnato una grande popolarità tra gli autori dei virus in quanto i suoi codici sorgente erano stati collocati in pubblico dominio. A febbraio 2017 gli specialisti Doctor Web hanno studiato un trojan per SO Windows che contribuisce alla diffusione di Linux.Mirai.

Il nuovo programma malevolo è stato denominato Trojan.Mirai.1. All'avvio il trojan si connette con il suo server di gestione, scarica un file di configurazione ed estrae da quest'ultimo un elenco di indirizzi IP. Quindi Trojan.Mirai.1 lancia uno scanner che comunica con nodi di rete sugli indirizzi elencati nel file di configurazione e cerca di autenticarsi su di loro, utilizzando una combinazione di login e password impostata nello stesso file. Lo scanner di Trojan.Mirai.1 può interrogare diverse porte TCP allo stesso tempo.

Se il trojan ha potuto stabilire una connessione con un nodo attaccato tramite qualsiasi dei protocolli disponibili, esegue una sequenza di comandi indicata nella configurazione. Eccetto le connessioni attraverso il protocollo RDP — in tale caso il trojan non esegue alcune istruzioni. Oltre a ciò, se il trojan si connette attraverso il protocollo Telnet a un dispositivo con SO Linux, carica sul dispositivo compromesso un file binario che a sua volta scarica e lancia il programma malevolo Linux.Mirai.

Inoltre, Trojan.Mirai.1 può eseguire sulla macchina remota comandi che utilizzano la tecnologia di comunicazione tra processi (inter-process communication, IPC). Il trojan può avviare nuovi processi e creare vari file – per esempio file batch di Windows con un determinato insieme di istruzioni. Se sul computer remoto sotto attacco funziona il sistema di gestione dei database relazionali Microsoft SQL Server, Trojan.Mirai.1 ci crea un utente Mssqla con la password Bus3456#qwein e i privilegi sysadmin. Sotto questo account tramite il servizio SQL server job event vengono eseguiti in automatico vari task malevoli. In questo modo il trojan, ad esempio, avvia secondo un calendario file eseguibili con i privilegi di amministratore, rimuove file o colloca qualche scorciatoia nella cartella di avvio automatico di sistema (o crea i relativi record nel registro di sistema di Windows). Collegandosi a un server MySQL remoto, il trojan, con obiettivi simili, crea un utente di DBMS MySQL con il nome phpminds e la password phpgod.

Trojan.Mirai.1 è stato aggiunto ai database di virus Dr.Web e perciò non rappresenta alcun rischio per i nostri utenti.

Informazioni sul trojan