گزارش مرکز ماهر در خصوص بدافزار madi

یک ویروس که بیش از هشت ماه از شروع فعالیت آن می‌گذرد شناسایی شده که حدود 800 رایانه را در ایران و اسرائیل آلوده کرده است

در روز سه شنبه 27 تیرماه خبری مبنی بر انتشار یک ویروس جدید در خاورمیانه توسط رسانه ها منتشر شد. این خبر که اولین بار توسط کسپرسکی اعلام شده، ادعا می کند که این تروجان بیش از 800 کامپیوتر را که بیشتر آنها در ایران و اسرائیل قرار دارند آلوده نموده است و بیش از 8 ماه از شروع فعالیت آن می گذرد.

برای مشاهده ادامه خبر به ادامه مطلب مراجعه کنید

اهم فعالیت های این بدافزار به شرح ذیل است

·         ثبت اطلاعات صفحه کلید

·         عکس گرفتن از صفحه مانیتور در فواصل مشخص

·         عکس گرفتن در صورت استفاده از ابزارهای ارتباطی از قبیل facebook، skype و یا Gmail.

·         ایجاد درهای پشتی جهت نفوذ و دسترسی مهاجم

·         ضبط، ذخیره و ارسال فایلهای صوتی

این تروجان توسط آزمایشگاه کسپرسکی به نام مهدی "Mahdi" یا "Madi" نامگذاری شده به این دلیل که این بدافزار فایلی به نام Mahdi.txt روی سیستم قربانی ایجاد می کند. همچنین ادعا شده که در کد این برنامه عبارات فارسی و نیز تاریخ هایی با فرمت تقویم ایرانی مشاهده شده است.

بررسی های صورت گرفته بر روی نمونه بدافزار توسط مرکز ماهر نتایج ذیل را بدست می دهد:

·         منبع اولیه شناسایی و اعلام این بدافزار شرکتی با عنوان seculert است که یک شرکت امنیت فناوری اطلاعات اسرائیلی است.

·         بررسی های به عمل آمده بر روی نمونه های بدافزار نشان می دهد که این یک بدافزار ساده و کم هزینه است. همچنین در این بدافزار از هیچ آسیب پذیری خاصی جهت انتشار و آسیب رسانی به سیستم ها استفاده نشده است. لذا بر خلاف ادعا های صورت گرفته مبنی بر مقایسه این بدافزار با تهدیداتی نظیر flame و در نظر گرفتن آن به عنوان یک تهدید هدفمند سایبری دور از ذهن بنظر می رسد.

        با یک جستجوی ساده در اینترنت به راحتی می توان فهمید که این بدافزار از مدتها پیش شناسایی شده است (جدول ذیل). شرکت ضدبدافزار Sophos حدود 5 ماه پیش (28 بهمن 1390) طی گزارشی به تشریح عملکرد این بدافزار پرداخته است.

به طور کلی مشخص نیست چرا یک بدافزار ساده که از مدتها قبل توسط شرکتهای معتبر آنتی ویروس شناسایی شده بوده است، اکنون به طور گسترده تحت پوشش خبری قرار می گیرد.