Доктор Веб обнаружил Windows-троянца, заражающего Linux-устройства

Александр Панасенко 07 Февраля 2017 - 09:02

Общее

Linux

Windows

Вредоносные программы

Трояны

...

Доктор Веб обнаружил Windows-троянца, заражающего Linux-устройства

Linux.Mirai — самый распространенный на сегодняшний день троянец для операционных систем семейства Linux. Первая версия этой вредоносной программы была добавлена в вирусные базы Dr.Web под именем Linux.DDoS.87 еще в мае 2016 года.

С тех пор она приобрела большую популярность у вирусописателей, поскольку ее исходные коды были опубликованы в свободном доступе. А в феврале текущего года специалисты компании «Доктор Веб» исследовали троянца для OC Windows, способствующего распространению Linux.Mirai.

Новая вредоносная программа получила наименование Trojan.Mirai.1. При запуске троянец соединяется со своим управляющим сервером, скачивает оттуда конфигурационный файл и извлекает из него список IP-адресов. Затем Trojan.Mirai.1 запускает сканер, который обращается к сетевым узлам по адресам из конфигурационного файла и пытается авторизоваться на них с заданным в том же файле сочетанием логина и пароля. Сканер Trojan.Mirai.1 умеет опрашивать несколько TCP-портов одновременно.

Если троянцу удается соединиться с атакуемым узлом по любому из доступных протоколов, он выполняет указанную в конфигурации последовательность команд. Исключение составляют лишь соединения по протоколу RDP — в этом случае никакие инструкции не выполняются. Помимо этого, при подключении по протоколу Telnet к устройству под управлением Linux он загружает на скомпрометированное устройство бинарный файл, который в свою очередь скачивает и запускает вредоносную программу Linux.Mirai, пишет news.drweb.ru.

Кроме того, Trojan.Mirai.1 может выполнять на удаленной машине команды, использующие технологию межпроцессного взаимодействия (inter-process communication, IPC). Троянец умеет запускать новые процессы и создавать различные файлы – например, пакетные файлы Windows с тем или иным набором инструкций. Если на атакованном удаленном компьютере работает система управления реляционными базами данных Microsoft SQL Server, Trojan.Mirai.1 создает в ней пользователя Mssqla с паролем Bus3456#qwein и привилегиями sysadmin. От имени этого пользователя при помощи службы SQL server job event автоматически выполняются различные вредоносные задачи. Таким способом троянец, например, запускает по расписанию исполняемые файлы с правами администратора, удаляет файлы или помещает какие-либо ярлыки в системную папку автозагрузки (либо создает соответствующие записи в системном реестре Windows). Подключившись к удаленному MySQL-серверу, троянец с аналогичными целями создает пользователя СУБД MySQL с именем phpminds и паролем phpgod.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 08 Июня 2026 - 10:31

Информационные войны Общее

Европейский ЦОД погасил серверы и заодно доверие российских клиентов

Европейские дата-центры внезапно напомнили рынку старую истину: даже самая надежная инфраструктура работает ровно до тех пор, пока кто-то не выключит рубильник. В начале июня без предупреждения было обесточено оборудование в нидерландском ЦОДе nLighten, где размещались серверы компании MIRhosting.

Под удар, как уточняет «Коммерсант», попали десятки хостинг-провайдеров и VPN-сервисов, которыми пользуются в том числе российские клиенты. Среди пострадавших оказались VDSina, McHost и ряд других известных игроков рынка.

Причиной кризиса стали события несколькими днями ранее. Нидерландская финансово-следственная служба FIOD провела рейды в дата-центрах, задержала двух человек и изъяла более 800 серверов по подозрению в нарушении санкционного режима в отношении России.

По версии следствия, часть инфраструктуры могла использоваться для поддержки российских кибератак и операций по распространению дезинформации.

После этого руководство nLighten приняло радикальное решение — отключить питание стоек MIRhosting. Причем без предварительного уведомления клиентов. В результате вместе с рабочими сервисами оказались недоступны и резервные копии данных, которые находились на тех же обесточенных серверах.

Последствия быстро стали заметны. По оценкам участников рынка, только у одного из пострадавших провайдеров перестали работать не менее 15 тысяч сайтов. Кроме того, сбои затронули несколько популярных VPN-сервисов. Некоторым операторам пришлось в экстренном порядке переносить инфраструктуру на новые площадки и восстанавливать сервисы из резервных копий.

Собеседники рынка отмечают, что история стала наглядным примером опасности так называемой единой точки отказа. Когда дата-центр, посредник и конечный провайдер оказываются связаны в одной цепочке, проблемы одного участника автоматически превращаются в проблемы всех остальных.

Инцидент может иметь и более долгосрочные последствия. Эксперты полагают, что часть российских клиентов теперь начнет активнее диверсифицировать инфраструктуру и распределять серверы между разными странами и провайдерами. Под вопросом оказался и статус европейских площадок как нейтральной территории для размещения сервисов.

Впрочем, участники рынка не ждут катастрофы для VPN-индустрии. По их словам, альтернативных юрисдикций и площадок в мире по-прежнему достаточно. Но июньское отключение уже стало одним из самых громких инфраструктурных инцидентов года и хорошим напоминанием о том, что резервировать нужно не только данные, но и саму инфраструктуру.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!