Narilam - malver za sabotažu baza podataka

Opisi virusa, 26.11.2012, 07:38 AM

Narilam - malver za sabotažu baza podataka

Symantec je nedavno otkrio malver nazvan W32.Narilam koji može kompromitovati SQL baze podataka. Malver „govori“ persijski i arapski jezik i kako izgleda, cilj malvera su pre svih kompanije u Iranu zbog čega su ga stručnjaci kompanije uporedili sa ozloglašenim malverom Stuxnet čija je meta bio iranski nuklearni program i koji je remetio rad centrifuga u postrojenjima za obogaćivanje uranijuma napadom na softver SCADA koji kontroliše rad centrifuga.

Narilam se širi preko USB fleš diskova i mrežnih deljenja. Kada se nađe na sistemu, ovaj kompjuterski crv traga za SQL bazama podataka koje su dostupne preko Object Linking and Embedding Database (OLEDB) API.

Narilam nije „špijun“ i ne krade podatke, već menja ili briše podatke, pa shodno tome, kažu u Symantec-u, može prouzrokovati značajnu štetu. U tome se ogleda njegova sličnost sa Stuxnet-om koji takođe nije bio namenjen obavljanju obaveštajnih zadataka, već sabotaži iranskog nuklearnog postrojenja u Natancu.

Ipak, ciljevi novog malvera ostaju za sada nejasni. Analize stručnjaka pokazuju da je i ovde najverovatnije reč o sabotaži, a meta malvera su podaci korporacija. Malver traga za specifičnim rečima u SQL bazama podataka, i to persijskim rečima, a persijski jezik (farsi) je jezik kojim se govori u Iranu. Tragajući, između ostalih, za rečima koje prevedene sa persijskog znače „prodaja“, „akcija“, „štednja“ i drugim, on zamenjuje te stavke u bazi nasumičnim vrednostima ili briše određena polja. Sudeći po tome, izgleda da su mete malvera baze podataka koje su povezane sa sistemima za upravljanje narudžbinama, računovodstvom i klijentima.

Očigledno je da mete malvera nisu kućni već korporativni korisnici, ali bi malver mogao prouzrokovati prilične probleme kompanijama koje koriste SQL baze a ne praktikuju pravljenje rezervnih kopija (backup). Za ovakve kompanije to bi moglo značiti dugotrajni prekid u radu i značajne finansijske gubitke do trenutka kada se stvari vrate u prvobitno stanje.

Symantec je novootrkiveni malver označio kao pretnju niskog rizika, a prema mapi distribucije malvera, većina infekcija je otkrivena u Iranu, a manji broj u Velikoj Britaniji i u SAD.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje

Novi malver JaskaGO krade informacije sa macOS i Windows sistema

Novi malver JaskaGO krade informacije sa macOS i Windows sistema

Istraživači sajber bezbednosti iz AT&T Alien Labsa otkrili su novi sofisticirani malver pod nazivom JaskaGO, napravljen u programskom jeziku Go ... Dalje