Symantec nagbabala ng pag-target sa malware SQL database

Nakakita ang Symantec ng isa pang kakaiba na piraso ng malware na tila target ng Iran at idinisenyo upang makialam sa mga SQL database.

Natuklasan ng kumpanya ang malware, na tinatawag na W32.Narilam, noong Nobyembre 15 ngunit noong Biyernes ay naglathala ng mas detalyadong writeup ni Shunichi Imano. Narilam ay na-rate bilang isang "mababang panganib" ng kumpanya, ngunit ayon sa isang mapa, ang karamihan ng mga impeksyon ay puro sa Iran, na may ilang sa UK, ang kontinental US, at ang estado ng Alaska

Kawili-wili, Ibinahagi ni Narilam ang ilang pagkakatulad sa Stuxnet, ang malware na naka-target sa Iran na nagambala sa mga kakayahan sa pagpapaunlad ng uraniya sa pamamagitan ng paggambala sa pang-industriyang software na nagpapatakbo ng mga centrifuge nito. Tulad ng Stuxnet, Narilam ay isa ring worm, kumakalat sa pamamagitan ng mga naaalis na drive at network file share, ayon sa Imano.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Sa sandaling nasa isang makina, hinahanap nito ang Microsoft SQL mga database. Pagkatapos nito ay hunts para sa tiyak na mga salita sa SQL database-ilan sa mga ito ay sa Persian, pangunahing wika ng Iran-at pinapalitan ang mga item sa database na may mga random na halaga o tinatanggal ang ilang mga patlang.

Ang ilan sa mga salita kasama ang "hesabjari," na nangangahulugang kasalukuyang account; "pasandaz," na nangangahulugang savings; at "asnad," na nangangahulugang pinansiyal na bono, isinulat ni Imano.

"Ang malware ay walang anumang pag-andar upang magnakaw ng impormasyon mula sa nahawaang sistema at tila partikular na na-program upang sirain ang data na gaganapin sa loob ng naka-target na database," sinulat ni Imano. "Dahil sa mga uri ng mga bagay na hinahanap ng pagbabanta, ang mga target na database ay tila may kaugnayan sa pag-order, accounting, o mga sistema ng pamamahala ng customer na kabilang sa mga korporasyon."

Mga gumagamit na hindi naka-target

Ang mga uri ng mga database na hinahangad ni Narilam ay malamang na hindi nagtatrabaho sa mga gumagamit ng tahanan. Ngunit Narilam ay maaaring maging isang sakit ng ulo para sa mga kumpanya na gumagamit ng SQL database ngunit hindi panatilihin backups.

"Ang mga apektadong organisasyon ay malamang na magdusa ng makabuluhang pagkagambala at kahit pinansiyal na pagkawala habang ibalik ang database," wrote Imano. "Tulad ng malware ay naglalayong sabotaging ang apektadong database at hindi gumawa ng isang kopya ng orihinal na database una, ang mga apektado ng banta na ito ay may isang mahabang daan sa pagbawi nang maaga sa kanila."

Stuxnet ay malawak na pinaniniwalaan na naging na nilikha ng US at Israel na may hangarin na mapabagal ang programang nuclear ng Iran. Mula noong natuklasan nito noong Hunyo 2010, iniugnay ng mga mananaliksik ito sa iba pang mga malware kabilang ang Duqu and Flame, na nagpapahiwatig ng isang mahabang pagtakbo ng paniniktik at sabotage na kampanya na nag-udyok ng pagmamalasakit sa lumalaking cyberconflict sa pagitan ng mga bansa.

Magpadala ng mga tip sa balita at komento sa jeremy_kirk @ idg.com. Sumunod kayo sa akin sa Twitter: @jeremy_kirk