Троян Mahdi (он же Madi), который более 8 месяцев оставался незамеченным популярными антивирусами, попал под пристальное внимание экспертов «Лаборатории Касперского». На днях, ими был зафиксирован новый образец трояна Madi, написанный на языке программирования Delphi. По анализу заголовка исполняемого файла, он был скомпилирован 25 июля этого года. Новая версия Mahdi включает в себя множество интересных доработок и новый функционал. Появилась возможность отслеживания посещений веб-сайтов, содержащих определенные ключевые слова, среди которых названия популярных интернет-сервисов, в том числе соцсеть "ВКонтакте". После обнаружения ключевого слова, троян делает снимок экрана и отправляет его на сервер управления, размещаемый, как и прежде, в Канаде. Вообще, в отличие от предыдущей версии, троян обрел большую самостоятельность, он теперь не ждет команд от сервера управления, а выполняет слежение и при необходимости отправляет данные на сервер. Управляющий сервер также претерпел ряд изменений, в нем появились механизмы автоматической обработки данных, получаемых от зараженных систем. Скрипты, которые использовали старые версии Mahdi, были удалены. В новой версии трояна появился контроль установки кейлоггера через библиотеку "datikal.dll", кроме того были оптимизированы функции самого клавиатурного шпиона. Таким образом, результаты исследования на сегодняшний день показывают, что кампания Mahdi по-прежнему продолжается, а злоумышленники, стоящие за ней, занимаются распространением и отладкой новых версий с улучшенным функционалом и новыми трюками. Некоторые аналитики высказывают свои предположения, что обнаруженный троян мог стать ответом хакеров с Ближнего Востока на троян Stuxnet. Подтверждением тому, может стать использование при отслеживании веб-активности таких слов, как «USA» и «gov».
Подробности