Symantec detectează content malware proiectat în interiorul unor baze de date corupte

Symantec a detectat o nouă piesă de content malware straniu ce pare a viza Iranul și este proiectat să intervină în bazele de date SQL.

Compania a descoperit acest malware, denumit W32.Narilam pe data de 15 Noiembrie, dar abia o săptămână mai târziu a publicat date detaliate despre el, printr-un comunicat semnat de Shunichi Imano. Narilam este considerat de risc scăzut de către Symantec, iar concentrările cele mai masive de infectări sunt în jurul Iranului, iar altele câteva se găsesc în Anglia, SUA și Alaska.

Interesant este faptul că W32.Narilam este similar cu Stuxnet, content malware care a creat probleme prin intervenția în buna funcționare a centralelor ce folosesc uraniu, afectând software-ul industrial ce administra rafinarea acestuia. Ca și Stuxnetm¸ W32.Narilam este și el un worm, ce se răspândește prin intermediul mediilor mobile de stocare și prin transferul de fișiere prin rețea, a relatat Imano.

În momentul în care se instalează într-un echipament, worm-ul caută bazele de date Microsoft SQL. Apoi vânează anumite cuvinte din cadrul acestor baze de date, unele din ele în persană (limba oficială a Iranului) și înlocuiește obiectele din baza de date cu valori la întâmplare, sau șterge anumite fișiere.

Printre aceste cuvinte se găsște și cuvântul hesabjari, care înseamnă cont curent, pasandaz, care înseamnă economii, sau asnad, care înseamnă legături financiare, conform raportului lui Imano.

„Acest content malware nu are ca funcționalitate furtul de informații din sistemele infectate și pare să fie programat în mod specific pentru a altera informațiile din cadrul bazelor de date vizate. Având în vedere tipul de obiecte pe care acest worm le caută, bazele de date vizate par să fie în relație cu sistemele de ordonare, contabilizare și management al clienților marilor corporații”, a spus Imano.

Tipul de baze de date căutate de W32.Narilam nu par să vizeze utilizatorii casnici, așa încât ele vor prezenta în special o bătaie de cap pentru corporațiile care au baze de date SQL și nu-și fac back-up la ele.

„Organizațiile afectate vor suferi, cel mai probabil, întreruperi ale activității sau chiar pierderi financiare dacă vor fi nevoite să-și restaureze bazele de date. Din moment ce scopul acestui malware este de a sabota bazele de date afectate și nu copiază bazele de date originale înainte de a o face, cei afectați vor avea mult de lucru pentru recuperarea lor”.

Se consideră că Stuxnet a fost creat de SUA în colaborare cu Israel cu intenția de a îngreuna programul nuclear al Iranului. De la descoperirea lui, în Iunie 2010, cercetătorii l-au conectat cu diferite alte content-uri malware, inclusiv Duqu și Flame, ceea ce pare să indice o îndelungată activitate de spionaj și sabotaj ce a promovat îngrijorări mar cu privire la escaladarea cyberconflictelor dintre națiuni.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*