Антивирусная компания Symantec сообщила об обнаружении экзотического вредоносного программного обеспечения, ориентированного на атаку целей в Иране и имеющего своей задачей повреждение баз данных SQL. Новый вредоносный код получил название W32.Narilam.
Суничи Имано, антивирусный специалист Symantec, говорит, что технически антивирусная компания обозначила Narilam как код с низкой степенью опасности, так как ареал его распространения ограничен Ираном и, в значительно меньшей степени, Великобританией и США.
Интересно, что Narilam имеет ряд сходств со знаменитым Stuxnet. Последний был ориентирован на саботаж иранских ядерных объектов за счет заражения промышленного программного обеспечения, управляющего центрифугами для обогащения урана. Как и Stuxnet, Narilam представляет собой сетевого червя, распространяющегося через съемные носители и общие сетевые ресурсы.
Попав на машину-жертву, код ищет работающие базы данных Microsoft SQL Server, а найдя таковые, занимается поиском специализированных баз на персидском, а также баз, в названиях которых присутствуют Hesabjari (текущий счет), Pasandaz (кредит) и Asnad (баланс). Найдя таковые, код меняет их названия и пытается затереть данные в соответствующих файлах БД.
В Symantec говорят, что сам по себе код не ворует никакой информации с зараженной системы и создан был с целью повреждения данных в ряде иранских систем. "С учетом имеющихся данных, можно утверждать, что Narilam атакует системы, ответственные за заказы, бухучет и управление продажами в Иране. Вероятнее всего, он ориентирован на местные компании или компании зарубежные, которые имеют офисы в Иране", - говорит Имано.
По его словам, большого вреда червь нанести не сможет, так как уничтоженные данные можно восстановить с резервных копий (если они ранее были сделаны), однако он может причинить определенную головную боль ИТ-администраторам.
Мирант Киев по материалам: www.cybersecurity.ru/c...
|