Symantec advarer mod malware-målretning af SQL-databaser

Symantec har set et andet ulige stykke malware, der ser ud til at målrette mod Iran og er designet til at blande sig med SQL-databaser.

Virksomheden opdagede malware, kaldet W32.Narilam, den 15. november, men offentliggjorde fredag ​​en mere detaljeret writeup af shunichi imano. Narilam er vurderet som en "lav risiko" af virksomheden, men ifølge et kort er flertallet af infektioner koncentreret i Iran, med få i Storbritannien, det kontinentale USA og staten Alaska.

Interessant nok, Narilam deler nogle ligheder med Stuxnet, malware rettet mod Iran, der forstyrrede sine uranraffineringskapaciteter ved at blande sig i industriel software, der kørte sine centrifuger. I lighed med Stuxnet er Narilam også en orm, der spredes gennem flytbare drev og netværksfilaktier, skrev Imano. [

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Det er en gang på en maskine, der søger Microsoft SQL databaser. Det jager derefter efter bestemte ord i SQL-databasen - hvoraf nogle er på persisk, Irans hovedsprog - og erstatter elementer i databasen med tilfældige værdier eller sletter bestemte felter.

Nogle af ordene omfatter "hesabjari", hvilket betyder nuværende konto; "pasandaz", hvilket betyder besparelser; og "asnad", hvilket betyder økonomisk binding, skrev Imano.

"Malware har ingen funktionalitet til at stjæle information fra det inficerede system og synes at være programmeret specifikt til at skade dataene i den målrettede database", skrev Imano. "I betragtning af de typer objekter, som truslen søger efter, synes de målrettede databaser at være relateret til ordre-, regnskabs- eller kundeadministrationssystemer, der tilhører virksomheder."

Forbrugere, der ikke er målrettet

De typer af databaser, der søges af Narilam, er usandsynligt at være ansat af hjemmebrugere. Men Narilam kan være hovedpine for virksomheder, der bruger SQL-databaser, men ikke opbevarer sikkerhedskopier.

"Den berørte organisation vil sandsynligvis lide betydelige forstyrrelser og endog økonomisk tab, mens databasen genoprettes," skrev Imano. "Da malware er rettet mod at sabotere den berørte database og ikke laver en kopi af den oprindelige database først, vil de, der berøres af denne trussel, have en lang vej til genopretning foran dem."

Stuxnet antages at have været skabt af USA og Israel med det formål at nedbringe Irans atomprogram. Siden sin opdagelse i juni 2010 har forskere knyttet det til andre malware, herunder Duqu and Flame, der angiver en langvarig spionage og sabotagekampagne, der har givet anledning til bekymring over stigende cyberkonflikt mellem nationer.

Send nyheds tips og kommentarer til jeremy_kirk @ idg.com. Følg mig på Twitter: @jeremy_kirk