سرورهای فرماندهی این بدافزار در کشور کانادا و ایران قرار دارند ولی گونه‌های اولیه‌ای از این بدافزار که در سال گذشته شناسایی شده بودند فقط با سرورهای فرماندهی مستقر در ایران ارتباط داشتند.

طی ۴۸ ساعت گذشته، شرکت امنیتی Kaspersky و شرکت اسرائیلی Seculert خبر از کشف حملات سایبری جدیدی داده اند که از یک بدافزار جاسوسی جدید استفاده می کند.
به گزارش ایتنا از شرکت مهندسی شبکه گستر، بر اساس عبارات و کلماتی که در برنامه (source) این بدافزار مشاهده شده و همچنین فایل‌های مخربی که بر روی کامپیوتر آلوده ایجاد می‌کند، نام “مهدی” یا Mahdi و یا Madi به آن داده شده است. 

در گزارشی که از سوی “مرکز ماهر ایران” درباره این بدافزار منتشر شده، آمده است “به طور کلی مشخص نیست چرا یک بدافزار ساده که از مدتها قبل توسط شرکت‌های معتبر آنتی ویروس شناسایی شده بوده است، اکنون به طور گسترده تحت پوشش خبری قرار می‌گیرد.”
همچنین در ادامه این گزارش، مرکز ماهر اعلام کرده است که “… بررسی های به عمل آمده بر روی نمونه های بدافزار نشان می دهد که این یک بدافزار ساده و کم هزینه است. همچنین در این بدافزار از هیچ آسیب پذیری خاصی جهت انتشار و آسیب رسانی به سیستم ها استفاده نشده است. لذا بر خلاف ادعا های صورت گرفته مبنی بر مقایسه این بدافزار با تهدیداتی نظیر flame و در نظر گرفتن آن به عنوان یک تهدید هدفمند سایبری دور از ذهن بنظر می رسد.”

شرکت ضدویروس McAfee نیز از مدت‌ها قبل (نزدیک به شش ماه قبل) این بدافزار را شناسایی کرده و آنرا رویداد جدیدی نمی‌داند.
هشدارهای امنیتی McAfee مرتبط با این بدافزار نیز مدتهاست که منتشر شده است.
بنا به درخواست شرکت شبکه گستر، کارشناسان McAfee براساس اطلاعاتی که توسط دو شرکت امنیتی فوق الذکر ارائه شده است، بررسی های بیشتری انجام داده و با توجه به مشخصه های MD۵ منتشر شده، تاکید دارند که این بدافزار و اجزای مرتبط با آن از ماهها قبل شناسایی شده است و این بدافزار مورد جدید و ناشناخته ای نیست.

* ۷b۷abab۹bc۴c۴۹۷۴۳d۰۰۱cf۹۹۷۳۷e۳۸۳ : magic_machine۱۱۲۳.pps – Exploit-PPT.j
* ۸۸۵fcebf۰۵۴۹bf۰c۵۹a۶۹۷a۷cfff۳۹ad : moses_pic۳۴۳.pps – Downloader.a!bfm
* ۳۵b۲dfd۷۱f۵۶۵cfc۱b۶۷۹۸۳۴۳۹c۰۹f۷۲ : [update]office.exe – Generic Downloader.x!g۲g
* d۹a۴۲۵eac۵۴d۶ca۴a۴۶b۶a۳۴۶۵۰d۳bf۱ : [update]office.exe – Downloader.a!bfm 

بدافزار ”مهدی” فقط با امید به فریب کاربران و باز کردن فایل های پیوست شده به ایمیل توسط این کاربران، انتشار می یابد.
این بدافزار از طریق ایمیل هایی که حاوی فایل مخربی از نوع Powerpoint است، منتشر می شود. در صورتیکه دریافت کننده این ایمیل مخرب اقدام به باز کردن فایل پیوست (attachment) کند، فایل Powerpoint اجرا شده و تصاویر جذابی را به نمایش در می آورد. در این لحظه با تکیه به احساسات کاربر، یک پیام بر روی صفحه نمایش داده می شود که در آن از کاربر خواسته شده تا اجازه نصب یک Screen Saver را بدهد. اگر کاربر که همچنان مجذوب تصاویر Powerpoint شده است، بی دقتی کند و دکمه تائید را بزند، یک بدافزار از نوع Malware Dropper اجرا می شود. این برنامه مخرب وظیفه ارتباط با سرور فرماندهی را دارد تا بدافزار اصلی را دریافت کرده و بر روی کامپیوتر قربانی نصب نماید. همچنین تعدادی زیاد فایلهای جانبی نیز بر روی کامپیوتر قربانی قرار داده می شود.

علاوه بر نمایش تصاویر Powerpoint، یک فایل به نام Mahdi.txt نیز باز می گردد. فایل Mahdi.txt حاوی یک مقاله از سایت خبری The Daily Beast است. این مقاله به ارتباط بین کشورهای ایران و اسرائیل و حملات سایبری اخیر پرداخته شده است.

بدافزاری که بر روی کامپیوتر قربانی نصب و اجرا می شود با یک سرور فرماندهی ارتباط برقرار می کند. بررسی‌های صورت گرفته نشان می‌دهد که سرورهای فرماندهی در کشور کانادا و ایران قرار دارند ولی گونه‌های اولیه‌ای از این بدافزار که در سال گذشته شناسایی شده بودند فقط با سرورهای فرماندهی مستقر در ایران ارتباط داشتند.

برخی اطلاعات رد و بدل شده بین بدافزار “مهدی” و سرورهای فرماندهی حاوی عباراتی به زبان فارسی بوده و همچنین از تاریخ های شمسی استفاده شده است. 

بدافزار “مهدی” اطلاعات جمع آوری شده از کامپیوتر قربانی را بصورت مخفی در پوشش یک صفحه Google به سرورهای فرماندهی ارسال می کند. اطلاعاتی که این بدافزار به دنبال آن است شامل اطلاعات شخصی کاربر، فایل های صوتی و ثبت کلیدهای زده شده بر روی صفحه کلید می شود.

تاکنون جملات سایبری مرتبط با بدافزار “مهدی” عمدتا در کشور ایران و سپس در اسرائیل و عربستان سعودی مشاهده شده است. 

در تحقیقات صورت گرفته تاکنون هیچ علامت و نشانه ای از ارتباط این بدافزار جدید با دیگر بدافزارهای مشهور Flame و Stuxnet به دست نیامده است. از سوی دیگر، شماره گذاری کامپیوترهای آلوده توسط بدافزار “مهدی” نشان دهنده حملات برنامه ریزی شده و دسته بندی اهداف تعیین شده، است. به اعتقاد کارشناسان شرکت Symantec این بدافزار ساخته و پرداخته یک هکر ایرانی است که نقشه هایی در سر دارد !

آخرین فایل های به روز رسانی محصولات ضدویروس McAfee اجزای مختلف این بدافزار را کاملاً شناسایی می کند.