Mahdi позволяет регистрировать нажатия клавиш, получать снимки экранов через определенные интервалы времени, записывать звук и пересылать в управляющий центр разнообразные документы, изображения, архивы и другие файлы. Вирус, распространяемый традиционными методами социальной инженерии, был назван по имени файла mahdi.txt, обнаруженного на зараженных компьютерах. В исламе Махди – провозвестник конца света и судного дня, очищающего мир от скверны и несправедливости. По мнению специалистов компании Seculert, командный и управляющий сервер Mahdi находится в Иране. Это говорит о том, что атакующие являются иранцами. Ключи, найденные во вредоносной программе, свидетельствуют о том, что ее автор бегло говорит на фарси и использует даты в формате персидского календаря.