اخیرا بدافزار جدیدی به نام ناریلام به دام ضد ویروسها افتاده است که ظاهرا گستره انتشار آن بیشتر در خاورمیانه بوده است. هرچند که بنابر تحلیل فنی شرکت کسپرسکی و همچنین اعلام مرکز ماهر ایران، ناریلام تنها بدافزار مبتدی و پیش پا افتادهای است، اما به هرحال از آنجا که پایگاههای داده را هدف میگیرد، توجه به بروز بودن آنتی ویروس و دیگر ملاحظات امنیتی را باید مد نظر قرار داد.
W32.Narilam نخستین بار در پانزدهم نوامبر گزارش شد. این بد افزار از روشهای قدیمی و شناخته شده دیگر بدافزارها مانند کپی کردن خود در کامپیوتر آلوده، افزودن کلیدهای رجیستری، سوء استفاده از دستگاههای ذخیره سازی جانبی و منابع قابل دسترسی شبکهای بهره جویی میکند و تنها ویژگی آسیب رسان این بدافزار تلاش برای سو استفاده از OLEDB جهت دسترسی به پایگاه داده SQLاست.
پس از اینکه Narilam به پایگاه داده SQL دست پیدا کرد، واژههایی مالی مانند “BankCheck” ،”A_seller” ،”buyername” و نیز واژههای پارسی “Pasandaz” و “Vamghest” را جستجو میکند. این بدافزار همچنین جدولهایی با نامهای “A_Sellers” ،”person” و “Kalamast” را پاک کرده و از بین میبرد.
Narilam تلاشی برای دزدیدن دادهای از پایگاه داده نمیکند و برداشت بر این است که تنها برای آسیب رساندن به پایگاههای داده برنامه ریزی شده باشد. همچنین از نامهایی که این بد افزار در پایگاه دادهها جستجو میکند پیداست که هدف، پایگاههای دادهای است که به گونهای به کارگزینی، حسابداری و مدیریت نیروی انسانی شرکتها مربوط میشود.
نرخ آلودگی و خطر Narilam فعلا که پایین است، ولی طبیعی است شرکتهایی که اصول امنیتی را رعایت نکرده باشند ممکن است دچار آسیبهای سازمانی و از دست دادن دادههای خود شوند و نداشتن نسخه پشتیبان درست از پایگاه داده میتواند سازمان آسیب دیده را تا زمان بازیافت دادههای از دست رفته دچار برهم ریختگی کاری و یا پولی نماید.
نویسنده: فرزاد غفوریان – مدیر واحد امنیت شرکت پارس آتنا دژ
