Описание действия распространённого вируса Linux.Mirai и какой антивирус вас защитит?


На сегодняшний день самым распространённым компьютерным вирусом, адаптированным под операционную систему Linux является Linux.Mirai. Исходная версия этого вируса была обнаружена ещё в мае 2016 года и с того момента получила широкий интерес у создателей вредоносного ПО, так как коды этого вируса были выложены в свободный доступ. В феврале текущего года аналитиками исследовали вредоносную программу для OC Windows, способствующего распространению Linux.Mirai.

Доктор Веб 08.02

Этот новый вирус получил название Trojan.Mirai.1. При запуске он соединяется со своим управляющим сервером, загружает оттуда конфигурационный файл и извлекает из него список IP-адресов. После этого, вирус запускает сканер, который обращается к сетевым узлам по адресам из конфигурационного файла и пытается авторизоваться на них с заданным в том же файле сочетанием логина и пароля. Сканер вируса имеет функцию опрашивать несколько TCP-портов одновременно.

В случае, если вирусу удалось соединиться с атакуемым узлом по какому-либо из доступных протоколов, он осуществляет указанный в конфигурации порядок команд. Исключением является лишь соединения по протоколу RDP — в этом случае не выполняются никакие инструкции. Кроме этого, при подключении по протоколу Telnet к устройству с ОС Linux он загружает на зараженную машину бинарный файл, который скачивает и запускает вредоносную программу Linux.Mirai.

Помимо этого, Trojan.Mirai.1 способен осуществлять на удаленном устройстве команды, которые используют технологию межпроцессного взаимодействия (inter-process communication, IPC). Вирус может запускать новые процессы и создавать различные файлы – например, пакетные файлы Windows с различными наборами инструкций. Если на зараженном удаленном устройстве функционирует система управления реляционными базами данных Microsoft SQL Server, то Trojan.Mirai.1 создает в ней пользователя Mssqla с паролем Bus3456#qwein и привилегиями sysadmin. От имени этого пользователя с помощью службы SQL server job event автоматически выполняются разнообразные вредоносные задачи. Таким образом вирус, например, запускает по расписанию исполняемые файлы от имени администратора, удаляет файлы или помещает какие-либо ярлыки в системную папку автозагрузки (или создает записи в системном реестре Windows). Подключившись к удаленному MySQL-серверу, вирус с такими же целями создает пользователя СУБД MySQL с именем phpminds и паролем phpgod.

Все эти исследования были проделаны аналитиками антивирусной компании «Доктор Веб» и вирус Trojan.Mirai.1 внесен в вирусные базы соответствующей антивирусной программы, так что обладателям антивирусного продукта этой компании можно не беспокоиться на счёт безопасности своего устройства.


P.S. Если у вас возникли проблемы компьютерными вирусами, или не получается установить антивирус обращайтесь в наш компьютерный сервис либо закажите выезд компьютерного мастера.