Первая версия Linux-трояна Mirai, была обнаружена в мае 2016 года и попала в вирусные базы компании под именем Linux.DDoS.87. Данный троян способен работать на устройствах с архитектурой х86, ARM, MIPS, SPARC, SH-4 и M68K, и предназначен для организации атак на отказ в обслуживании, то есть DDoS-атак.
Linux.DDoS.87 содержал в своем коде ряд ошибок, которые были устранены авторами малвари в последующих версиях. Аналитики отмечают, что троян во многом похож на семейство вредоноснов Linux.BackDoor.Fgt, обнаруженное еще в 2014 году. Так, после запуска на зараженном устройстве Linux.DDoS.87 ищет в памяти процессы других троянских программ и прекращает их выполнение. Чтобы избежать случайной остановки собственного процесса, малварь создает в своей папке файл с именем .shinigami и периодически проверяет его наличие. Затем Linux.DDoS.87 пытается установить соединение с управляющим сервером для получения дальнейших инструкций. На сервер отправляется идентификатор, определяющий архитектуру инфицированного компьютера, а также сведения о MAC-адресе сетевой карты.
По команде операторов Linux.DDoS.87 может выполнять следующие виды DDoS-атак:
- UDP flood;
- UDP flood over GRE;
- DNS flood;
- TCP flood (несколько разновидностей);
- HTTP flood.
В начале августа 2016 года исследователи обнаружили новую версию данной малвари, получившую идентификатор Linux.DDoS.89. Эта вредоносная программа имеет множество общих черт со своей предшественницей, однако прослеживаются и некоторые отличия от Linux.DDoS.87. К примеру, в обновленной версии изменился порядок действий при запуске. Также механизм защиты от выгрузки собственного процесса претерпел изменения: теперь вредоносная программа не пытается определить наличие специального файла в собственной папке, а выполняет проверку на основе идентификатора процесса (PID). Среди отсылаемой Linux.DDoS.89 на управляющий сервер информации отсутствует МАС-адрес сетевого адаптера. Кроме того, из списка поддерживаемых типов атак исчез HTTP flood. В то же время формат получаемых от злоумышленников команд остался прежним. Кроме того, в Linux.DDoS.89 появился новый компонент — telnet-сканнер, который ранее использовался во всех версиях Linux.BackDoor.Fgt.
В конце августа – начале сентября 2016 года была обнаружена еще одна обновленная версия трояна, получившая название Linux.Mirai. В некоторых образцах вредоносной программы появилась функция самоудаления. Троян научился отключать предотвращающий зависание операционной системы сторожевой таймер watchdog (чтобы исключить перезагрузку устройства), а в перечень выполняемых типов атак вновь вернулся HTTP flood. Тем не менее, Linux.Mirai во многом похож на своих предшественников. Для сравнения на иллюстрации ниже приведены фрагменты кода Linux.DDoS.87 (слева) и Linux.Mirai (справа).
Исследователи пишут, что другие эксперты тоже успели изучить Linux.Mirai и заметили, что когда трояну удается обнаружить в сети уязвимое telnet-устройство, он выполняет встроенный в его тело bash-сценарий. Такое поведение тоже характерно для Linux.BackDoor.Fgt, однако ни в одном из образцов Linux.Mirai, имеющихся в распоряжении аналитиков «Доктор Веб», подобного сценария обнаружено не было. Специалисты компании обратились к коллегам с просьбой предоставить образцы Linux.Mirai, в которых такая функция предусмотрена.
