Το επονομαζόμενο Mirai DDoS Trojan υποδουλώνει τις ευπαθείς συσκευές, μετατρέποντάς τις σε μέλη ενός εξελιγμένου botnet και στη συνέχεια τις χρησιμοποιεί για τη διεξαγωγή DDoS επιθέσεων.
Σύμφωνα με τον ερευνητή MalwareMustDie! (MMD), το Mirai DDoS Trojan είναι η εξέλιξη ενός παλαιότερου trojan, που χρησιμοποιείται επίσης για DDoS επιθέσεις, και είναι γνωστό με πολλά ονόματα, όπως Gafgyt, Lizkebab, BASHLITE, Bash0day, Bashdoor και Torlus.
Οι προκάτοχοι του Mirai δεν αστειεύονται. Σύμφωνα με έκθεση της περασμένης εβδομάδας, περισσότερες από ένα εκατομμύριο IoT συσκευές έχουν μολυνθεί από το Gafgyt κατά τη διάρκεια των τελευταίων μηνών, ενώ έχει εντοπιστεί και έναbotnet που στηρίζεται σε αυτό, το οποίο απαρτίζεται από περισσότερα από 120.000 bots.
Η λειτουργικότητα του Mirai είναι σε μεγάλο βαθμό πανομοιότυπη με αυτή του Gafgyt, στοχεύοντας συσκευές IoT που τρέχουν σε Βusybox. Το Busybox είναι μια συρρικνωμένη έκδοση του πυρήνα των Linux που χρησιμοποιείται σε IoT συσκευές.
Το trojan στοχεύει επίσης μόνο συγκεκριμένα είδη πλατφορμών, όπως ARM, ARM7, MIPS, PPC, SH4, SPARC, και x86.
Το Mirai μολύνει τις συσκευές διεξάγοντας brute-force επιθέσεις κατά του Telnet port, και χρησιμοποιεί μια λίστα default κωδικών διαχειριστή στην προσπάθειά του να εκμεταλλευτεί περιπτώσεις όπου οι ιδιοκτήτες των συσκευών έχουν αμελήσει να αλλάξουν τον default κωδικό.
Όταν μολύνει μια συσκευή, το Mirai στέλνει σήμα στον C & C server και περιμένει εντολές. Το Mirai μπορεί να χρησιμοποιηθεί όχι μόνο για την έναρξη επιθέσων DDoS, αλλά και για την διεξαγωγή επιθέσεων brute-force, μέσω των οποίων εξαπλώνεται και σε άλλες IoT συσκευές. Μέχρι στιγμής τo Mirai φαίνεται να στοχεύει κυρίως IP κάμερες και DVR, που βασίζονται σε Linux-based λογισμικό.