Η Symantec προειδοποιεί για κακόβουλα προγράμματα που απευθύνονται σε βάσεις δεδομένων SQL

Η Symantec έχει εντοπίσει ένα άλλο παράξενο κομμάτι κακόβουλου λογισμικού το οποίο φαίνεται να στοχεύει στο Ιράν και έχει σχεδιαστεί για να παρεμβαίνει με βάσεις δεδομένων SQL.

Η εταιρεία ανακάλυψε το κακόβουλο λογισμικό W32.Narilam στις 15 Νοεμβρίου, αλλά δημοσίευσε την Παρασκευή λεπτομερέστερη γράφοντας από τον Shunichi Imano. Το Narilam χαρακτηρίζεται ως "χαμηλός κίνδυνος" από την εταιρεία, αλλά σύμφωνα με έναν χάρτη, η πλειονότητα των λοιμώξεων συγκεντρώνεται στο Ιράν, με λίγες στο Ηνωμένο Βασίλειο, τις ηπειρωτικές ΗΠΑ και την πολιτεία της Αλάσκας.

Ο Narilam μοιράζεται κάποιες ομοιότητες με το Stuxnet, το κακόβουλο λογισμικό που στοχεύει στο Ιράν και το οποίο έσπασε τις δυνατότητες βελτίωσης του ουρανίου, παρεμβαίνοντας στο βιομηχανικό λογισμικό που έτρεξε τις φυγοκεντρικές του. Όπως και το Stuxnet, ο Narilam είναι επίσης ένας ιός τύπου worm, που διαδίδεται μέσω αφαιρούμενων μονάδων δίσκου και αρχείων δικτύου, όπως έγραψε ο Imano.

Μόλις σε ένα μηχάνημα ψάχνει για Microsoft SQL βάσεων δεδομένων. Στη συνέχεια κυνηγάει για συγκεκριμένες λέξεις στη βάση δεδομένων SQL - μερικές από τις οποίες είναι στην περσική γλώσσα, την κύρια γλώσσα του Ιράν - και αντικαθιστά στοιχεία στη βάση δεδομένων με τυχαίες τιμές ή διαγράφει ορισμένα πεδία

Μερικές από τις λέξεις περιλαμβάνουν "hesabjari" τρεχούμενος λογαριασμός; "pasandaz", που σημαίνει εξοικονόμηση. "Το κακόβουλο λογισμικό δεν έχει καμία λειτουργία για να κλέβει πληροφορίες από το μολυσμένο σύστημα και φαίνεται να έχει προγραμματιστεί ειδικά για να βλάψει τα δεδομένα που υπάρχουν στην στοχευμένη βάση δεδομένων", γράφει ο Imano. "Λαμβάνοντας υπόψη τα είδη αντικειμένων που ψάχνει η απειλή, οι στοχευμένες βάσεις δεδομένων φαίνεται να σχετίζονται με συστήματα παραγγελιοληψίας, λογιστικής ή διαχείρισης πελατών που ανήκουν σε εταιρείες."

Οι καταναλωτές δεν στοχεύουν

Οι τύποι βάσεων δεδομένων που αναζητεί η Narilam είναι είναι απίθανο να απασχολούνται από οικιακούς χρήστες. Αλλά ο Narilam θα μπορούσε να είναι ένας πονοκέφαλος για εταιρείες που χρησιμοποιούν βάσεις δεδομένων SQL, αλλά δεν διατηρούν αντίγραφα ασφαλείας.

"Καθώς το κακόβουλο λογισμικό αποσκοπεί στην υπονόμευση της πληγείσας βάσης δεδομένων και δεν κάνει πρώτα ένα αντίγραφο της αρχικής βάσης δεδομένων, όσοι επηρεάζονται από αυτήν την απειλή θα έχουν μακρύ δρόμο για ανάκαμψη μπροστά τους."

Το Stuxnet πιστεύεται ευρέως ότι έχει που δημιουργήθηκε από τις ΗΠΑ και το Ισραήλ με σκοπό την επιβράδυνση του πυρηνικού προγράμματος του Ιράν. Από την ανακάλυψή του τον Ιούνιο του 2010, οι ερευνητές την έχουν συνδέσει με άλλα κακόβουλα προγράμματα, όπως το Duqu and Flame, γεγονός που υποδεικνύει μια μακροχρόνια καμπάνια κατασκοπείας και σαμποτάζ που προκάλεσε ανησυχίες για την κλιμάκωση του κυβερνοσυγκέντρου μεταξύ των εθνών

Αποστολή ειδήσεων και σχολίων ειδήσεων στο jeremy_kirk @ idg.com. Συνέχεια μου στο Twitter: @jeremy_kirk