xشماره: IRCNE2012071558
تاريخ: 28/04/91
در روز سه شنبه 27 تيرماه خبري مبني بر انتشار يك ويروس جديد در خاورميانه توسط رسانه ها منتشر شد. اين خبر كه اولين بار توسط كسپرسكي اعلام شده، ادعا مي كند كه اين تروجان بيش از 800 كامپيوتر را كه بيشتر آنها در ايران و اسرائيل قرار دارند آلوده نموده است و بيش از 8 ماه از شروع فعاليت آن مي گذرد. اهم فعاليت هاي اين بدافزار به شرح ذيل است:
· ثبت اطلاعات صفحه كليد
· عكس گرفتن از صفحه مانيتور در فواصل مشخص
· عكس گرفتن در صورت استفاده از ابزارهاي ارتباطي از قبيل facebook، skype و يا Gmail.
· ايجاد درهاي پشتي جهت نفوذ و دسترسي مهاجم
· ضبط، ذخيره و ارسال فايلهاي صوتي
اين تروجان توسط آزمايشگاه كسپرسكي به نام مهدي "Mahdi" يا "Madi" نامگذاري شده به اين دليل كه اين بدافزار فايلي به نام Mahdi.txt روي سيستم قرباني ايجاد مي كند. همچنين ادعا شده كه در كد اين برنامه عبارات فارسي و نيز تاريخ هايي با فرمت تقويم ايراني مشاهده شده است.
بررسي هاي صورت گرفته بر روي نمونه بدافزار توسط مركز ماهر نتايج ذيل را بدست مي دهد:
· منبع اوليه شناسايي و اعلام اين بدافزار شركتي با عنوان seculert است كه يك شركت امنيت فناوري اطلاعات اسرائيلي است.
· بررسي هاي به عمل آمده بر روي نمونه هاي بدافزار نشان مي دهد كه اين يك بدافزار ساده و كم هزينه است. همچنين در اين بدافزار از هيچ آسيب پذيري خاصي جهت انتشار و آسيب رساني به سيستم ها استفاده نشده است. لذا بر خلاف ادعا هاي صورت گرفته مبني بر مقايسه اين بدافزار با تهديداتي نظير flame و در نظر گرفتن آن به عنوان يك تهديد هدفمند سايبري دور از ذهن بنظر مي رسد.
· با يك جستجوي ساده در اينترنت به راحتي مي توان فهميد كه اين بدافزار از مدتها پيش شناسايي شده است (جدول ذيل). شركت ضدبدافزار Sophos حدود 5 ماه پيش (28 بهمن 1390) طي گزارشي به تشريح عملكرد اين بدافزار پرداخته است.
به طور كلي مشخص نيست چرا يك بدافزار ساده كه از مدتها قبل توسط شركتهاي معتبر آنتي ويروس شناسايي شده بوده است، اكنون به طور گسترده تحت پوشش خبري قرار مي گيرد.
- 2