Фахівці компанії «Доктор Веб» досліджували трояна для OC Windows, що сприяє поширенню іншої троянської програми для операційних систем сімейства Linux. Перша версія даного зловреда була додана в вірусні бази Dr. Web під ім'ям Linux. DDoS. 87 ще в травні 2016 р. З тих пір вона набула великої популярності у вірусів, оскільки її вихідні коди були опубліковані у вільному доступі, розповіли CNews в «Доктор Веб».

Нова шкідлива програма отримала найменування Trojan. Mirai. При запуску троян з'єднується зі своїм керівником сервером, викачує звідти конфігураційний файл і витягує з нього список IP-адрес. потім Trojan. Mirai. 1 запускає сканер, який звертається до мережевих вузлів за адресами з конфігураційного файлу і намагається авторизуватися на них з заданим в тому ж файлі поєднанням логіна і пароля. сканер Trojan. Mirai. 1 вміє опитувати кілька TCP-портів одночасно.

Якщо трояни вдається з'єднатися з атакується вузлом, використовуючи один із протоколів, він виконує зазначену в конфігурації послідовність команд. Виняток становлять лише з'єднання по протоколу RDP - в цьому випадку ніякі інструкції не виконуються. Крім цього, при підключенні по протоколу Telnet до пристрою під керуванням Linux він завантажує на скомпрометований пристрій бінарний файл, який, в свою чергу, завантажує і запускає шкідливу програму Linux. Mirai.

Крім того, Trojan. Mirai. 1 може виконувати на віддаленому сервері команди, що використовують технологію взаємодії між процесами (inter-process communication, IPC). Так, троян вміє запускати нові процеси і створювати різні файли - наприклад, пакетні файли Windows з тим чи іншим набором інструкцій. Якщо на атакованому віддаленому комп'ютері працює система керування базами даних Microsoft SQL Server, Trojan. Mirai. 1 створює в ній користувача Mssqla з паролем Bus3456 # qwein і привілеями sysadmin.

Від імені цього користувача за допомогою служби SQL server job event автоматично виконуються різні шкідливі завдання. Таким способом троян, наприклад, запускає за розкладом виконувані файли з правами адміністратора, видаляє файли або поміщає будь-які ярлики в системну папку автозавантаження (або створює відповідні записи в системному реєстрі Windows). Підключившись до віддаленого MySQL-сервера, троян з аналогічними цілями створює користувача СУБД MySQL з ім'ям phpminds і паролем phpgod.