A Symantec figyelmeztet az SQL adatbázisok célzására irányuló rosszindulatú programokról

A Symantec egy másik furcsaságot észlelt, amely úgy tűnik, hogy Iránt célozza meg, és az SQL adatbázisokkal való összekapcsolódásra tervezett.

A cég november 15-én felfedezte a W32.Narilam nevű kártevőt, de pénteken részletesebb írta Shunichi Imano. A Narilamot a cég "alacsony kockázatnak" tartja, de a térkép szerint a fertőzések nagy része Iránban koncentrálódik, néhányuk pedig az Egyesült Királyságban, a kontinentális Egyesült Államokban és az Alaszkai államban.

Érdekes módon, A Narilam hasonlóságokat oszt meg a Stuxnet-szel, az iráni célzott malware-szel szemben, amely megzavarta uránium-finomítási képességeit azáltal, hogy zavarja az ipari szoftvert, amely centrifugáit hajtotta végre. Mint a Stuxnet, a Narilam egy féreg is, amely a cserélhető meghajtókon és a hálózati fájlok megosztásán keresztül terjed.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

Egyszer a gépre keres Microsoft SQL adatbázisok. Ezután az SQL adatbázisban bizonyos szavakat vadászik - ezek közül néhány perzsa, az iráni főnyelv -, és véletlenszerű értékekkel helyettesíti az adatbázisban lévő elemeket, vagy törli egyes mezőket.

A szavak közül néhány a "hesabjari" kifejezést jelenti Jelenlegi fiók; "pasandaz", ami megtakarítást jelent; és az "asnad", amely pénzügyi kötést jelent, írta Imano.

"A rosszindulatú programnak nincs olyan funkciója, amely ellopta az információt a fertőzött rendszerből, és úgy tűnik, hogy kifejezetten a célzott adatbázisban tárolt adatok károsodására van programozva" - írta Imano. "A veszélyeztetett objektumok típusai miatt a célzott adatbázisok a vállalatokhoz tartozó rendelési, számviteli vagy ügyfélkezelő rendszerekhez kapcsolódnak."

Nem célzott fogyasztók

A Narilam által keresett adatbázis típusai: valószínűleg nem használják az otthoni felhasználók. De a Narilam fejfájást okozhat olyan vállalatok számára, amelyek SQL adatbázisokat használnak, de nem tartanak mentést.

"Az érintett szervezet valószínűleg jelentős zavarokat és anyagi veszteségeket szenvedhet az adatbázis helyreállítása közben" - írta Imano. "Mivel a rosszindulatú program célja az érintett adatbázis sabotázása, és nem készít másolatot az eredeti adatbázisról, azok, akiket e fenyegetés érintenek, hosszú utat jelentenek a helyreállítás előtt."

A Stuxnet széles körben elterjedt amelyet az USA és Izrael hozott létre azzal a szándékkal, hogy lelassítsa Irán nukleáris programját. A kutatók 2010 júniusában felfedezték a többi kártevővel, köztük a Duqu and Flame-tel, ami egy régóta futó kémkedés és szabotázs kampányt jelzett, ami aggodalmat keltett a nemzetek közötti fokozódó kiberkonfliktus miatt.

Hírek és kommentek küldése jeremy_kirk @ idg.com. Kövessen velem a Twitteren: @jeremy_kirk