安全公司 Dr.Web 发现一种 Windows 木马 Trojan.Mirai.1 。黑客正在使用它传播恶意软件 Mirai 、感染物联网设备进行大规模 DDoS 攻击。

Windows 木马传播恶意软件 Mirai

该 Windows 木马被称为 Trojan.Mirai.1 ，其最重要的功能就是帮助 Mirai 感染更多的设备。木马使用 C ++ 语言编写，用于扫描指定范围 IP 地址的 TCP 端口，以便执行命令、传播恶意软件。木马启动后将连接命令和控制服务器下载配置文件（ wpd.dat ）、提取 IP 地址列表，并对设备多个端口进行扫描。如果感染设备运行 Linux 操作系统，它将执行一系列命令将其纳入 Mirai 僵尸 *** ，如果感染设备运行 Windows 系统，它将潜伏下来并继续传播寻找新目标。

Mirai Windows 版本针对更多端口

22 – Telnet
23 – SSH
135 – DCE/RPC
445 – Active Directory
1433 – MSSQL
3306 – MySQL
3389 – RDP

值得注意的是，木马虽然扫描 3389 端口但不通过 RDP 协议连接设备执行指令，而是通过 Telnet 、SSH 等端口连接到 Linux 设备，执行相关操作。

此外，木马还执行其他恶意操作。如果被攻击的计算机含有数据库管理系统 Microsoft SQL Server ，它将创建登录名：Mssqla 密码：Bus3456#qwein ，以管理员权限执行窃取数据等恶意操作。

以下是 Trojan.Mirai.1 的 SHA1

9575d5edb955e8e57d5886e1cf93f54f52912238
f97e8145e1e818f17779a8b136370c24da67a6a5
42c9686dade9a7f346efa8fdbe5dbf6fa1a7028e
938715263e1e24f3e3d82d72b4e1d2b60ab187b8

本文由 HackerNews.cc 翻译整理，封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。