کرم موسوم به"Narilam" با هدف قرار دادن دیتابیس Microsoft SQL دسترسی به تیبل ها جداول، و آبجکت ها را فراهم می کند، کلمات ویژه از قبل تعریف شده را با Value های تصادفی جایگزین می کند و برخی از جداول را حذف می کند.
کارشناسان سیمانتک که این کرم را کشف کرده اند می گویند سرقت اطلاعات توسط این بدافزار صورت نمی گیرد بلکه هدف اصلی تخریب اطلاعات با جایگزین کردن Value های تصادفی است که در نهایت دیتابیس را تبدیل به دیتای بی ارزش می کند.
شونیچی ایمانو محقق در سیمانتک در وبلاگ خود نوشت: برنامه به صورت ویژه نوشته شده و اطلاعات خاصی را با هدف تغییر در ارزش ها دنبال می کند. به گفته وی بدافزار روی ordering(سیستم سفارش) ، accounting (سیستم حسابداری) و customer management system (مدیریت مشتری) در کسب و کارهایی که دیتابیس شان روی مایکروسافت است، تعریف شده است.
گفتنی است بدافزار مذکور دنبال کلماتی مانند حساب جاری (Hesabjari)، پس انداز(pasandaz)، bankcheck، shahd، علیم (alim) و ... است .
بسیاری از ماشین های آلوده در ایران قرار گرفته اند و سایر کشورها میزان کمی از آلودگی را گزارش داده اند.
ظاهرا بدافزار جدید در هماهنگی با استاکس نت بوجود آمده است و سیمانتک نیز اظهار بی اطلاعی از جزییات آن کرده است. پیتر کوگان در سیمانتک می گوید بسیاری از تروجان های بانکی بیزینس ها را مورد هدف قرار می دهند اما در مورد ایران شاید جاسوسی و یا sabotage را مد نظر قرار داده اند.
گفته می شود فایل ها و فولدر های به اشتراک گذاشته شده روی شبکه و یو اس بی فلش ها عامل توزیع بدافزار بعد از آلودگی اولیه هستند. رجیستری ویندوز در ویندوز 7 و سرور 2003 و 2008 و ایکس پس و ویستا آلوده می شوند.
نمونه اولیه 2 سال قبل به صورت تروجان کشف شد ولی اکنون مانند بدافزار عمل کرده و با تعریفی جدید شروع به آلودگی سیستم ها کرده است. نکته غیر معمول بدافزار این است که عملیات به روز رسانی مایکروسافت دیتابیس را با دسترسی به OLEDB انجام می دهد.
کمپانی ها اگر آلوده شوند برای restore باید هزینه های گزافی را بپردازند.
منبع: زد دی نت
5656
نظر شما