新型Windows木马：传播MIRAI恶意软件入侵更多的物联网设备

MIRAI–可能是去年出现的最大的基于物联网的恶意软件威胁，通过对主流DNS提供商Dyn开展大规模的分布式拒绝服务（DDoS）攻击在去年十月造成了巨大的互联网中断。
现在，这个臭名昭著的恶意软件已经完成自我更新，以提高其分配力度。

来自俄罗斯Dr.Web网络安全公司的研究人员发现了一个Windows木马，生成木马的唯一目的就是帮助黑客将Mirai传播给更多的设备。

Mirai是一个恶意软件程序，它基于Linux的物联网（IoT）装置，能够扫描不安全的物联网设备，将其奴役成僵尸网络，然后用它们来发动DDoS攻击，利用工厂设备许可在Telnet之上进行远程传播。
这一切开始于去年十月初，一名黑客公开发布了Mirai的源代码。

它被称为Trojan.Mirai.1，新木马以Windows电脑为目标，并且扫描获得Linux用户许可的网络连接设备。

一旦将其安装在Windows电脑，木马连接到命令和控制（C＆C）服务器，并且从中下载一个包含一系列IP地址的配置文件，用以在多个端口上尝试身份验证，比如22（SSH）和23（telnet），135，445，1433，3306和3389端口。

成功的认证使得恶意软件根据受损系统的类型能够运行某些在配置文件中的指定命令。

在Linux系统中通过telnet协议的情况下，该木马在受害设备上下载一个二进制文件，随后，该文件能够下载并启动Linux.Mirai。
“Trojan.Mirai.1的扫描仪可以检查几个TCP端口。如果木马通过任何可用的协议成功地连接到攻击节点，它会执行指示的命令序列。”

一旦中毒，木马可以将其本身传播到其他的Windows设备上，帮助黑客劫持更多的设备。

除此之外，研究人员指出，恶意软件也可以识别并使数据库服务陷入危险之中，使之能够在各种端口上运行，包括MySQL和Microsoft SQL，创建一个新的管理员”phpminds” 密码“phpgodwith”，能够允许攻击者窃取数据库。

直到现在我们还不知道是谁创造了它，但攻击设计表明，即使你的物联网的设备不能直接从Internet访问，也可以被加入到Mirai的僵尸网络大军当中。

原文：http://thehackernews.com/2017/02/mirai-iot-botnet-windows.html