Антивирусная компания «Доктор Веб» сообщила о появлении нового зловреда, который, будучи Windows-троянцем, может заражать и Linux-компьютеры.

Новинка называется Trojan.Mirai.1 и содержит в себе троянце Linux.Mirai – самый распространенный на сегодняшний троянец для Linux. При запуске Trojan.Mirai.1 подключается к удалённому серверу и скачивает конфигурационный файл с сетевыми IP-адресами. После этого запускается сканер сетевых узлов, который проходит по перечню адресов из файла и пытается авторизоваться с помощью логина и пароля из того же файла.

Если троянцу удается соединиться с атакуемым узлом по любому из доступных протоколов, он выполняет указанную в конфигурации последовательность команд. Исключение составляют лишь соединения по протоколу RDP — в этом случае никакие инструкции не выполняются. Помимо этого, при подключении по протоколу Telnet к устройству под управлением Linux он загружает на скомпрометированное устройство бинарный файл, который в свою очередь скачивает и запускает вредоносную программу Linux.Mirai.

Trojan.Mirai.1 также может выполнять на удаленной машине команды, использующие технологию межпроцессного взаимодействия (inter-process communication, IPC). Троянец умеет запускать новые процессы и создавать различные файлы – например, пакетные файлы Windows с тем или иным набором инструкций. Если на атакованном удаленном компьютере работает система управления реляционными базами данных Microsoft SQL Server, Trojan.Mirai.1 создает в ней пользователя Mssqla с паролем Bus3456#qwein и привилегиями sysadmin. От имени этого пользователя при помощи службы SQL server job event автоматически выполняются различные вредоносные задачи. Таким способом троянец, например, запускает по расписанию исполняемые файлы с правами администратора, удаляет файлы или помещает какие-либо ярлыки в системную папку автозагрузки (либо создает соответствующие записи в системном реестре Windows). Подключившись к удаленному MySQL-серверу, троянец с аналогичными целями создает пользователя СУБД MySQL с именем phpminds и паролем phpgod.

«Новинка» уже добавлена в базу данных антивируса.