Первый вариант троянской программы для Linux Mirai был зафиксирован в мае текущего года и попал в вирусные базы «Доктор Веб» под именем Linux.DDoS.87. Эта программа способна функционировать на устройствах с архитектурой х86, ARM, M68K, MIPS, SH-4 и SPARC. Она была предназначена для проведения DDoS-атак.
В коде программы Linux.DDoS.87 присутствовал ряд ошибок, устраненных разработчиками в следующих версиях. По словам аналитиков, Linux.DDoS.87 во многом схожа с вредоносной программой Linux.BackDoor.Fgt, зафиксированной еще в 2014 году. После того, как Linux.DDoS.87 запускается на инфицированном устройстве, она ведет поиск в памяти процессов иных троянских программ и завершает их. Во избежание случайной остановки собственного процесса, вредоносная программа создает файл .shinigami и периодически осуществляет проверку его наличия. После этого Linux.DDoS.87 стремится выйти на связь с командным сервером, чтобы получить от хакеров дальнейшие инструкции. На сервер передается идентификатор, который определяет архитектуру зараженного устройства, и информация о MAC-адресе сетевой карты.
Эксперты в начале августа выявили новую разновидность этой вредоносной программы, которая получила имя Linux.DDoS.89. Она во многом схожа с предыдущей версией, но прослеживаются и отличия от Linux.DDoS.87. Например, порядок действий при запуске обновленной версии был изменен. Защитный механизм, предотвращающий выгрузку собственного процесса, также поменялся. Linux.DDoS.89 не стремится определять наличие специального файла в своей папке, а осуществляет проверку, используя идентификатор процесса. Linux.DDoS.89 не отправляет на командный сервер МАС-адрес сетевого адаптера. Формат команд, которые программа получает от хакеров, не изменился. Также в Linux.DDoS.89 был добавлен telnet-сканер, ранее применявшийся в Linux.BackDoor.Fgt.
В начале сентября была зафиксирована еще одна версия троянской программы, которая получила название Linux.Mirai. В ней появился функционал самоудаления. Кроме того, троянская программа научилась отключать сторожевой таймер watchdog, который во избежание перезагрузки устройства предотвращает зависание операционной системы.