BKDR_MIRAI.A 木马通过连接 C&C 服务器搜寻目标,一旦成功入侵目标机器,其首先会判断目标机器的操作系统,如果是 Linux 系统,其会释放 Mirai 恶意软件并建立新的 Bot。如果是 Windows 系统,其会将自身拷贝到系统中,并继续寻找 Linux 目标机器。该恶意软件会根据操作系统不同而执行不同的功能。 该木马首先会检查系统是否打开如下端口: 22 (SSH), 23 (Telnet), 135 (DCE/RPC), 445 (ActiveDirectory), 1433 (MSSQL), 3306 (MySQL)和 3389 (RDP),这些端口通常用于文件共享,数据上传,以及远程桌面管理等。
基于目标端口分析,该木马还会识别系统中存在的 MySQL 和 Microsoft SQL Server 数据库,一旦识别出,其会建立管理员权限用户,例如:如果系统中存在 Microsoft SQL Server,其会建立 sysadmin权限的数据库用户“Mssqla”。拥有该权限的用户可以对数据库进行任何操作,如:更改数据库配置,关闭数据库,建立、修改、删除和恢复数据库等。该木马亦可攻击使用默认密码的家用路由器等物联网设备,亚信安全建议对于使用默认密码的物联网设备一定要及时修改密码,设置复杂密码。目前该木马虽然只用于传播 Mirai 病毒,但也能用于传播破坏性更强的病毒,其潜在危害性不容忽视。