Один из самых распространенных на сегодняшний день троянец для ОС Linux, Linux.Mirai, для дальнейшего распространения «воспользовался» услугами троянца для OC Windows — Trojan.Mirai.1. Последний при запуске соединяется со своим управляющим сервером, скачивает оттуда конфигурационный файл и извлекает из него список IP-адресов. Затем Trojan.Mirai.1 запускает сканер, который обращается к сетевым узлам по адресам из конфигурационного файла и пытается авторизоваться на них с заданным в том же файле сочетанием логина и пароля. Сканер Trojan.Mirai.1 умеет опрашивать несколько TCP-портов одновременно, выяснили эксперты «Доктора Веб».
Если троянцу удается соединиться с атакуемым узлом по любому из доступных протоколов, он выполняет указанную в конфигурации последовательность команд. Исключение составляют лишь соединения по протоколу RDP — в этом случае никакие инструкции не выполняются. Помимо этого, при подключении по протоколу Telnet к устройству под управлением Linux троянец Trojan.Mirai.1 загружает на скомпрометированное устройство бинарный файл, который затем скачивает и запускает Linux.Mirai.
Кроме того, Trojan.Mirai.1 может выполнять на удаленной машине команды, использующие технологию межпроцессного взаимодействия. Троянец умеет запускать новые процессы и создавать различные файлы — например, пакетные файлы Windows с тем или иным набором инструкций. Если на атакованном удаленном компьютере работает система управления реляционными базами данных Microsoft SQL Server, Trojan.Mirai.1 создает в ней пользователя Mssqla с паролем Bus3456#qwein и привилегиями sysadmin. От имени этого пользователя при помощи службы SQL server job event автоматически выполняются различные вредоносные задачи. Таким способом троянец, например, запускает по расписанию исполняемые файлы с правами администратора, удаляет файлы или помещает какие-либо ярлыки в системную папку автозагрузки.