Keyfacts
- entdeckt: Juli 2012
- sicher aktiv seit: September 2011
- letzte Aktivität: Juli 2012
- Verbreitung: Iran, Pakistan, USA aus Finanz- und Wissenschaftsbereich sowie Verwaltung
- Infektion und Replikation: Modifizierte Powerpoint & Bilddateien mit religiösen/politischen Bezügen
- Hauptziel: Spionage und Datendiebstahl
- vermutliche Herkunft: unbekannt
Relevante Dokumente
Mahdi erhielt seinen Namen nach der Benennung und dem stark islamisch religiösen sowie politischen Inhalt der infizierten WORD- oder Powerpoint-Dokumente, über die sich diese Malware verbreitet hat. Der Name „Mahdi“ bezeichnet im traditionellen islamischen Glauben den von Gott gesandte Erlöser, der in der Endzeit auftauchen und das Unrecht auf der Welt beseitigen wird (Quelle: Wikipedia). Die Malware Mahdi verwendete im Gegensatz zu Stuxnet & Co. keinerlei Zero-Day-Exploits oder ähnlich komplexe Hintertüren um sich zu installieren sondern setzte auf einfache, aber sehr effektive Mittel wie das Bewegen der Empfänger zum Anzeigen von infizierten Dateien. Darüber hinaus gibt es auch im Code keine weiteren Ähnlichkeiten. Einen möglichen Hinweis zur Herkunft von Mahdi könnte die vielen persischen Bezeichner sein, die im Code entdeckt wurden.