Пользователи Ближнего Востока стали жертвой очередного трояна Mahdi

18/07/2012 00:48

Анализируя спам-сообщения, эксперты антивирусной компании Seculert в конце прошлого года столкнулись с неизвестным на тот момент трояном, используемым для целевой атаки на пользователей Ближнего Востока. Наблюдение за активностью трояна, позволило выделить командные центры, которые несколько раз меняли домены и свое местоположение, оставаясь по сей день в рабочем состояние. Первый командный центр находился в Иране, а затем перебазировался в Канаду. Все обнаруженные версии трояна в разные этапы своей деятельности создавали текстовый документ "Mahdi.txt", за что троян получил свое гордое название пророка Махди, который известен своим предсказанием скорого "конца света". После обнаружения трояна Flame (Flamer), исследователи Seculert обратились за помощью в "Лабораторию Касперского", чтобы те проверили существует ли между этими двумя зловредами связь. Связи как таковой не оказалось, за исключением общего региона распространения. Атака трояна Mahdi была направлена на пользователей Ближнего Востока, всего было зафиксировано более 800 заражений в Иране, Израиле, Афганистане, ОАЭ и Саудовской Аравии. Для своего распространения Mahdi использовал спам-сообщения религиозной тематики, которые содержали PowerPoint-презентацию или исполняемые файлы со скрытыми расширениями. После запуска таких файлов, производилось открытие текстового документа, изображения или видео, а вместе с тем выполнялся вредоносный код. В случаях с вложениями в виде презентаций, установка вредоносного кода происходила средствами PowerPoint и требовала от пользователя подтверждения выполнения опасного кода. Детальный анализ Mahdi (Trojan.Win32.Madi) показал, что для распространения трояна не использовались никакие уязвимости. После заражения системы, троян устанавливал себя в автозапуск и связывался с командным центром по HTTP-протоколу. Всего было зафиксировано 4 командных сервера. Троян Mahdi обладал следующими функциями: слежение за нажатиями клавиш; создание снимков экрана через заданный интервал времени или при обнаружение определенного действия пользователя, например открытия веб-сайта социальной сети или IM-клиента; запись звука; поиск и отправка документов заданного типа; получение структуры файловой системы; обновление версии клиентского модуля и функцией самоуничтожения. Примечательно, что код трояна был написан на Delphi и упакован с использованием UPX. Несмотря на явную вредоносную активность, использование простейших средств разработки и распространение через открытые источники, троян Mahdi оставался незамеченным антивирусами более 8 месяцев. Некоторые аналитики высказывают свои предположения, что обнаруженный троян мог стать ответом хакеров с Ближнего Востока на троян Stuxnet. Учитывая "успехи" современных антивирусных систем, у разработчиков такого уровня даже может что-то из этого получиться.
Источник