未加星标

Dr.Web研究人员发现了一个Windows版本的mirai-bot

字体大小 | |
[系统(windows) 所属分类 系统(windows) | 发布者 店小二05 | 时间 2017 | 作者 红领巾 ] 0人收藏点击收藏

防病毒公司Dr.Web的研究人员发现了一种新型的windows版本的Mirai bot,相对于旧版本,该恶意软件扫描更多的端口。

防病毒公司Dr.Web的安全专家发现了一个针对更多端口的新型Mirai bot,它是一个广泛流行的Windows版本IoT恶意软件。

Windows版本的Mirai bot被一些罪犯用来感染物联网设备,并通过传播Mirai linux恶意软件进行DDoS攻击。

“俄罗斯网络安全公司Dr.Web发现Mirai恶意软件的最新发展趋势,该公司的安全专家发现一个旨在帮助Mirai恶意软件感染到更多设备的Windows木马”BleepingComputes 写到。

研究人员MalwareMustDie在2016年8月首次发现Mirai恶意软件,Mirai恶意软件专门针对物联网设备。


Dr.Web研究人员发现了一个Windows版本的mirai-bot

Mirai bot感染了包括包括DVR和CCTV系统在内的成千上万的路由器和物联网设备。当Mirai bot感染设备时,Mirai bot随机挑选IP,并尝试Telnet和SSH端口进行日志记录。

Dr.Web的研究人员将其命名为 Trojan.Mirai.1。

“Trojan.Mirai.1是用C ++编写的Microsoft Windows木马。被设计用于从指定的IP地址范围扫描TCP端口,以执行各种命令和分发其它恶意软件。Dr.Web说。

“启动时,木马连接到其命令和控制服务器,下载配置文件(wpd.dat)并提取IP地址列表。然后扫描仪启动:它引用列出的地址并同时检查几个端口。

与原来的Mirai Linux恶意软件不同,Trojan.Mirai.1扫描更多端口。

Trojan.Mirai.1可以寻址以下端口:

22 23 135 445 1433 3306 3389

当Trojan.Mirai.1成功感染一个新的设备,如果该设备运行Linux操作系统,它将执行一系列命令,最终创建一个新的DDoS Mirai机器人。 相反,如果被感染的设备正在运行Windows操作系统,它会释放自己的副本。

“它还创建具有登录mssqla和密码Bus3456#qwein的DBMS用户,授予它sysadmin权限。 在此用户的名称下并在SQL服务器事件服务的帮助下执行各种任务。”

“唯一的例外是通过RDP协议的连接:在这种情况下,不执行任何指令。 除此之外,当通过Telnet协议连接到Linux设备时,它在受感染的设备上下载一个二进制文件,然后该文件下载并启动Linux.Mirai。

下面一些Trojan.Mirai.1的SHA1哈希值:

9575d5edb955e8e57d5886e1cf93f54f52912238 f97e8145e1e818f17779a8b136370c24da67a6a5 42c9686dade9a7f346efa8fdbe5dbf6fa1a7028e 938715263e1e24f3e3d82d72b4e1d2b60ab187b8

*转载请注明来自MottoIN

本文系统(windows)相关术语:三级网络技术 计算机三级网络技术 网络技术基础 计算机网络技术

分页:12
转载请注明
本文标题:Dr.Web研究人员发现了一个Windows版本的mirai-bot
本站链接:http://www.codesec.net/view/532118.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 系统(windows) | 评论(0) | 阅读(48)