شرکت سیمانتک در باره بدافزاری جدید که بیشتر در خاورمیانه دیده شده است هشدار داد.
این بدافزار که پایگاههای داده را هدف میگیرد جدای از خاورمیانه در دیگر کشورها نیز گزارش شده است.
به گزارش ایتنا از روابط عمومی شرکت پاد، W32.Narilam نخستین بار در پانزدهم نوامبر گزارش شد.
این بدافزار از روشهای شناخته شده دیگر بدافزارها مانند کپی کردن خود در کامپیوتر آلوده، افزودن کلیدهای رجیستری، سوءاستفاده از دستگاههای ذخیرهسازی جانبی و منابع قابل دسترسی شبکهای بهره جویی میکند.
ولی به گفته ایمانو شونیچی کارشناس و جستوجوگر شرکت سیمانتک، رفتار آسیب رسان اصلی این بدافزار این است که تلاش میکند که با سوءاستفاده از OLEDB، به پایگاه داده SQL دسترسی پیدا کند.
پس از اینکه Narilam به پایگاه داده SQL دست پیدا کرد، واژه هایی مالی مانند "BankCheck"، "A_seller"، "buyername" و نیز واژههای پارسی "Pasandaz" و "Vamghest" را جستوجو میکند.
این بدافزار همچنین جدولهایی با نامهای "A_Sellers"، "person" و "Kalamast" را پاک کرده و از بین میبرد.
ایمانو شونیچی افزوده است که Narilam تلاشی برای دزدیدن دادهای از
پایگاه داده نمیکند و برداشت بر این است که تنها برای آسیب رساندن به
پایگاههای داده برنامهریزی شده است.
همچنین از نامهایی که این
بدافزار در پایگاه دادهها جستوجو میکند مشخص میشود که هدف، پایگاههای
دادهای است که به گونه ای به کارگزینی، حسابداری و مدیریت نیروی انسانی
شرکتها مربوط میشود.
نرخ آلودگی Narilam فعلا پایین است، ولی
شرکتهایی که اصول امنیتی را رعایت نکرده باشند ممکن است دچار آسیبهای
سازمانی و از دست دادن دادههای خود شوند.
چنانچه نسخه پشتیبان
درستی از پایگاه داده فراهم نشده باشد، بازیافت دادههای از دست رفته بسیار
دشوار و زمانبر خواهد بود و در این برهه، سازمان آسیب دیده به احتمال قوی
با برهم ریختگی کاری و آسیبهای مالی فراوان مواجه میشود.
همچنین
از آنجا که این بدافزار پیش از نابود کردن دادهها، هیچ پشتیبان یا کپی از
پایگاه داده نمیسازد، راهکار بازیافت، عملیاتی بسیار زمانبر و پردردسر
خواهد بود.