Symantec предупреждает о таргетинге вредоносных программ на базы данных SQL

Symantec обнаружила еще одну нечетную часть вредоносного ПО, которая, как представляется, нацелена на Иран и предназначена для вмешательства в базы данных SQL.

15 ноября компания обнаружила вредоносное ПО W32.Narilam, но в пятницу опубликовала более подробную информацию запись Шуничи Имано. Нарилам оценивается как «низкий риск» со стороны компании, но, согласно карте, большинство инфекций сосредоточено в Иране, а некоторые в Великобритании, в континентальной части США и в штате Аляска.

Интересно, Нарилам разделяет некоторые сходства со Stuxnet, вредоносным ПО, нацеленным на Иран, которое нарушило возможности уранового утончения, препятствуя промышленному программному обеспечению, которое запускало его центрифуги. Как и Stuxnet, Narilam также является червем, распространяющимся по съемным дискам и общим сетевым файлам, пишет Imano.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

После запуска на компьютере он ищет Microsoft SQL базы данных. Затем он охотится за определенными словами в базе данных SQL, некоторые из которых находятся на персидском, главном языке Ирана, и заменяют элементы в базе данных случайными значениями или удаляют определенные поля.

Некоторые из слов включают «hesabjari», что означает текущий аккаунт; «пасандаз», что означает экономию; и «asnad», что означает финансовую связь, пишет Imano.

«Вредоносная программа не имеет никаких функций для кражи информации из зараженной системы и, по-видимому, запрограммирована специально для повреждения данных, хранящихся в целевой базе данных», - пишет Имано, «Учитывая типы объектов, которые ищет угроза, целевые базы данных, по-видимому, связаны с системами упорядочения, учета или управления клиентами, принадлежащими корпорациям».

Потребители не нацелены на

Типы баз данных, которые ищет Нарилам, - это вряд ли будут использоваться домашними пользователями. Но Нарилам может стать головной болью для компаний, которые используют базы данных SQL, но не сохраняют резервные копии.

«У пострадавшей организации, вероятно, будут значительные сбои и даже финансовые потери при восстановлении базы данных», - писал Имано. «Поскольку вредоносное ПО предназначено для саботажа затронутой базы данных и не делает копию исходной базы данных в первую очередь, те, кто пострадали от этой угрозы, будут иметь долгий путь к восстановлению впереди них».

Полагают, что Stuxnet созданный США и Израилем с целью замедления ядерной программы Ирана. С момента своего открытия в июне 2010 года исследователи связали его с другими вредоносными программами, включая Duqu и Flame, что указывает на длительную кампанию шпионажа и саботажа, которая вызвала озабоченность по поводу эскалации киберконфликт между странами.

Отправить советы и комментарии к новостям jeremy_kirk @ idg.com. Следуйте за мной в Twitter: @jeremy_kirk