Narilam - malver za sabotažu baza podataka

Opisi virusa, 26.11.2012, 07:38 AM

Narilam - malver za sabotažu baza podataka

Symantec je nedavno otkrio malver nazvan W32.Narilam koji može kompromitovati SQL baze podataka. Malver „govori“ persijski i arapski jezik i kako izgleda, cilj malvera su pre svih kompanije u Iranu zbog čega su ga stručnjaci kompanije uporedili sa ozloglašenim malverom Stuxnet čija je meta bio iranski nuklearni program i koji je remetio rad centrifuga u postrojenjima za obogaćivanje uranijuma napadom na softver SCADA koji kontroliše rad centrifuga.

Narilam se širi preko USB fleš diskova i mrežnih deljenja. Kada se nađe na sistemu, ovaj kompjuterski crv traga za SQL bazama podataka koje su dostupne preko Object Linking and Embedding Database (OLEDB) API.

Narilam nije „špijun“ i ne krade podatke, već menja ili briše podatke, pa shodno tome, kažu u Symantec-u, može prouzrokovati značajnu štetu. U tome se ogleda njegova sličnost sa Stuxnet-om koji takođe nije bio namenjen obavljanju obaveštajnih zadataka, već sabotaži iranskog nuklearnog postrojenja u Natancu.

Ipak, ciljevi novog malvera ostaju za sada nejasni. Analize stručnjaka pokazuju da je i ovde najverovatnije reč o sabotaži, a meta malvera su podaci korporacija. Malver traga za specifičnim rečima u SQL bazama podataka, i to persijskim rečima, a persijski jezik (farsi) je jezik kojim se govori u Iranu. Tragajući, između ostalih, za rečima koje prevedene sa persijskog znače „prodaja“, „akcija“, „štednja“ i drugim, on zamenjuje te stavke u bazi nasumičnim vrednostima ili briše određena polja. Sudeći po tome, izgleda da su mete malvera baze podataka koje su povezane sa sistemima za upravljanje narudžbinama, računovodstvom i klijentima.

Očigledno je da mete malvera nisu kućni već korporativni korisnici, ali bi malver mogao prouzrokovati prilične probleme kompanijama koje koriste SQL baze a ne praktikuju pravljenje rezervnih kopija (backup). Za ovakve kompanije to bi moglo značiti dugotrajni prekid u radu i značajne finansijske gubitke do trenutka kada se stvari vrate u prvobitno stanje.

Symantec je novootrkiveni malver označio kao pretnju niskog rizika, a prema mapi distribucije malvera, većina infekcija je otkrivena u Iranu, a manji broj u Velikoj Britaniji i u SAD.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje