Das Botnetz Mirai nutzt neuerdings verwundbare Windows-Rechner, um weitere Linux Geräte zu infizieren. Eine Rolle dabei spielen sowohl verwundbare SQL-Server als auch ein Bild von Taylor Swift.

Die Windows-Variante führt allerdings keine Angriffe aus. Sie dient lediglich als Host für die Infektion weiterer Linux-basierter IoT-Geräte, wie Kaspersky berichtet.

Laut Kaspersky ist der Windows-Bot demnach nur dafür verantwortlich, Scans nach verwundbaren Geräten durchzuführen, um diese mit dem Mirai-Schadcode zu infizieren. Dies wird über verschiedene Wege versucht wie zum Beispiel über den Telnet-Bruteforce-Angriff. Wenn kein Telnet verfügbar ist, versucht die Software, das notwendige Programm im Hintergrund herunterzuladen.

Die Malware soll neben der Infektion über Telnet auch in der Lage sein, sich über SSH, Windows Management Instrumentations (WMI), per SQL-Injektion oder über IPC-Instruktionen zu verbreiten. Über ein Botnetz soll der Windows-basierte Mirai-Installer selbst verteilt werden können.

Offenbar enthält die Malware neben dem Botnetz-Code selbst einen Keylogger, der in einem 2.3 Mbyte großen Bild der Sängerin Taylor Swift versteckt ist. Die Keylogging-Software stammt aus dem Jahr 2013 und ist damit keinenfalls neu. In der Jpeg-Datei ist der Schadcode als Kommentar gehostet.

(ms, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE