Mirai僵尸程序新变种爆发， 60个小时 、10万个IP 地址

在10月31日，一个ZyXEL PK5001Z调制解调器的后门漏洞PoC被公布在了Exploit Database（号称“全球漏洞库”，网址www.exploit-db.com），漏洞被标识为CVE-2016-10401。
ZyXEL PK5001Z调制解调器被发现留有一个后门账户admin/CentryL1nk（用户名：admin；密码：centuryl1nk），可以通过“su（ Switch user，切换用户）”语法来将普通用户切换到拥有对根目录访问权限的超级账户（密码：zyad5001）。




从本月22日开始，来自奇虎360网络安全研究院（Netlab）的安全专家通过ScanMon 系统利用这些被公布的信息进行了扫描。
ScanMon系统由Netlab研发，提供全球范围内实时和历史扫描行为的监控和分析。ScanMon 通过分析大量多样的网络数据，包括网络流、蜜罐等等，来精确有效的检测扫描行为。
Netlab注意到，从22日11:00开始，ScanMon系统端口2323和端口23扫描流量大幅提升，并在2017年11月23日白天达到峰值。经过调查，Netlab有理由相信扫描来自僵尸程序Mirai的新变种。




其中，大部分扫描IP地址来自阿根廷。在不到一天的时间里，被监测到的IP地址约有6.57万个。在经过60个小时后，这个数值增加到10万，这意味着新的僵尸网络Mirai至少由10万台设备组成。
安全专家表示，这些设备正在寻找易受攻击的ZyXEL设备——使用admin/CentryL1nk和admin/QwestM0dem作为默认的Telnet证书的ZyXEL设备。




好消息是，Mirai僵尸程序没有持久性机制，这意味着当受感染的设备重新启动时这个僵尸程序可以被根除。