Антивірусна компанія «Доктор Веб» повідомила про появу нового зловредів, який, будучи Windows-троянцем, може заражати і Linux-комп’ютери.

Новинка називається Trojan.Mirai.1 і містить у собі троянця Linux.Mirai – найпоширеніший на сьогоднішній троянець для Linux. При запуску Trojan.Mirai.1 підключається до віддаленого сервера і завантажує конфігураційний файл з мережевими IP-адресами. Після цього запускається сканер мережних вузлів, який проходить за переліком адрес з файлу і намагається авторизуватися за допомогою логіна і пароля з того ж файлу.

Якщо троянцю вдається з’єднатися з атакуемым вузлом по будь-якому з доступних протоколів, він виконує вказану в конфігурації послідовність команд. Виняток становлять лише з’єднання за протоколом RDP — в цьому випадку ніякі інструкції не виконуються. Крім цього, при підключенні по протоколу Telnet до пристрою під управлінням Linux він завантажує на скомпрометоване пристрій бінарний файл, який в свою чергу завантажує і запускає шкідливу програму Linux.Mirai.

Trojan.Mirai.1 також може виконувати на віддаленій машині команди, що використовують технологію межпроцессного взаємодії (inter-process communication, IPC). Троянець вміє запускати нові процеси і створювати різні файли, наприклад, пакетні файли Windows з тим чи іншим набором інструкцій. Якщо на атакованном віддаленому комп’ютері працює система управління реляційними базами даних Microsoft SQL Server, Worm.Mirai.1 створює в ній користувача Mssqla з паролем Bus3456#qwein і привілеями sysadmin. Від імені цього користувача за допомогою SQL server job event автоматично виконуються різні шкідливі завдання. Таким способом троянець, наприклад, запускає за розкладом виконувані файли з правами адміністратора, видаляє файли або поміщає якісь ярлики в системну папку автозавантаження (або створює відповідні записи в системному реєстрі Windows). Підключившись до віддаленого MySQL-сервера, троянець з аналогічними цілями створює користувача СУБД MySQL з ім’ям phpminds і паролем phpgod.

«Новинка» вже додана в базу даних антивіруса.