卡巴斯基说怀疑Linux Mirai变种是中国人开发的 Mirai将在Linux嵌入式设备传播

据卡巴的安全研究人员警告说， 资深的僵尸网络操控者 （ 可能为中国籍 ） 开发了臭名昭著的 Linux Mirai 僵尸网络的 Windows变种。 对于Windows版本的Mirai，其他相关特性包括SQL盲注入和暴力攻击技术。这些技术基于破解程序库编译，旨在将各类攻击任务化。

此外，据称Windows僵尸程序的源代码是基于C++语言进行模块化开发的，其功能来自各个源库。该威胁利用的代码签名证书似乎是从中国西北部的太阳能和半导体晶片研磨产品制造商处窃取的。

Mirai变种进入Linux平台传播

Doctor Web最近对该变种进行了详细介绍，称该变种的主要作用是在嵌入式Linux设备中传播Mirai僵尸网络。并且，该恶意软件滥用Windows Management Instrumentation (WMI)，在远程主机上执行命令，将Microsoft SQL服务器和MySQL服务器作为攻击目标，创建管理账户并滥用权限。

在本周发布的报告中，卡巴斯基实验室研究人员解释说，Windows版本的Mirai只是一款恶意软件传播程序，不应被视为新的僵尸网络。然而，该 Mirai变种 与最初的Mirai存在代码差异。最初的Mirai于去年下半年出现，主要针对 不安全的物联网设备 。

卡巴斯基确认说，该传播程序设计用于对远程Telnet连接进行暴力攻击，将Mirai在先前不可用的资源中传播。该木马针对Windows系统，可接入互联网入侵平台上运行的脆弱的SQL服务器。此类服务器可连接至 私有网络上的IP摄像头以及DVR、媒体中心软件、各种Banana Pi设备 以及其他内部设备。

Doctor Web强调的是，该款Windows僵尸程序实际上并非全新的，它的某些组件早在2014年就存在，而功能可追溯到2013年的公共来源。该安全公司也称，该威胁可“利用一个非常有限的交付向量将Mirai僵尸程序传播至嵌入式的Linux系统中。”

卡巴斯基称，Mirai在Linux和Windows平台上的切换并不顺畅，而且 该僵尸网络的源代码的公开发布 ，预计会在未来几年里对互联网基础设施带来严重问题。此外，该公司认为与未来的问题相比，该Windows木马仅是万里长征开始的一小步。

该Window传播程序设计用于根据特定列表搜索和攻击主机，通过Telnet传播Linux Mirai僵尸网络。该传播程序可在被入侵的系统中释放下载器，下载Mirai。

卡巴斯基说Mirai变种是中国人开发的

卡巴斯基表示，针对于Windows系统的Mirai是由一位资深的开发人员编写的。种种迹象如各种工件、字符串选词以及恶意软件在中文系统中进行编译（主机服务器在台湾维护），表明作者可能会说中文。该木马利用专门从中国公司窃取的代码签名证书这一事实也很好地证实了这一点。

卡巴斯基表示，“会说中文的恶意软件的作者可窃取代码签名证书，能从针对于全球MSSQL服务器的多个攻击项目中剥离Window32攻击代码，将代码植入有效的跨平台传播的僵尸网络，刷新Mirai僵尸网络行动在2016年虽具破坏性但不成熟和止步不前的局面，使其获得很大提升。”

此外，该安全公司称，这使得更多系统和网络暴露在Mirai的威胁之下，但也显示出Mirai的缓慢进展。这些僵尸程序的代码是其他项目和之前来源的代码拼凑在一起的，程序的大多数组件、技术和功能还是数年之前的。这些组件嵌入在JPEG注释中，这种技术自2013年就开始使用。