Mahdi | |
---|---|
Тип | шпионская программа, кейлоггер, бэкдор |
Год появления | декабрь 2011 года |
Mahdi — шпионская программа, впервые обнаруженная в 2012 году израильской компанией Seculert. Она получила своё название в связи с названиями создаваемых ею файлов и, скорее всего, была сделана в Израиле или в Иране. Самая первая версия вируса была написана в декабре 2011 года. Вирус атаковал преимущественно фирмы на Среднем Востоке, чаще всего — иранские и израильские. Из 800 атакованных устройств 387 были расположены в Иране, 54 в Израиле[1]. Как сообщается на одном израильском сайте, через вложение Microsoft PowerPoint некому вирусу удалось заразить Банк Апоалим — один из крупнейших банков Израиля. Хотя не сообщается, что это конкретно был за вирус, его принцип действия был очень похож на Mahdi.
Mahdi распространяется по электронной почте, рассылая фишинговые письма, содержащие вложения Microsoft Word. В документах содержалась статья The Daily Beast, опубликованная в ноябре 2011 года, в которой обсуждался план Израиля по выведению из строя сотовую связь, электросети и Интернет в Иране[1]. При скачивании вложения на устройство скачивается бэкдор, который связывается с командным сервером, с которых скачиваются другие компоненты вируса. Целый вирус связывается с как минимум пятью серверами, один из серверов расположен в Тегеране, остальные 4 в различных точках Канады. Вирус крадёт информацию делая снимки экрана, записывая аудио и нажатия клавиш[2]. Он также очищает документы Word, .PDF-файлы и файлы Excel.
Позже были найдены другие версии вируса, распространяющиеся с помощью вложений PDF и Microsoft PowerPoint, содержащие изображения с религиозными темами или красивыми природными местами[1].