تحلیل ویروس W32.Narilam از دید یک شرکت ایرانی

فارس / اخيرا بدافزار جديدي به نام ناريلام به دام ضدويروس‌ها افتاده که ظاهرا گستره انتشار آن بيشتر در خاورميانه بوده است؛ بدافزاري که نابودي پايگاه داده "مالي و نيروي انساني" را در هدف دارد و البته مرکز ماهر ايران و شرکت کسپرسکي آن را مبتدي و پيش پا افتاده‌اي تحليل کرده‌اند. بنا بر اين گزارش، بخش امنيت شرکت ايراني پارس آتنا دژ، تحليلي در خصوص رفتار ويروس ناريلام - W32.Narilam منتشر کرده است. فرزاد غفوريان مدير بخش امنيت اين شرکت در اين تحليل اعلام کرده: بدافزار ناريلام پايگاه‌هاي داده را هدف مي‌گيرد و از اين رو به بروز بودن آنتي ويروس و ديگر ملاحظات امنيتي بايد مد نظر قرار گرفته شود. W32.Narilam نخستين بار در پانزدهم نوامبر گزارش شد؛ اين بد افزار از روش‌هاي قديمي و شناخته شده ديگر بدافزارها مانند کپي کردن خود در کامپيوتر آلوده، افزودن کليدهاي رجيستري، سوء استفاده از دستگاه‌هاي ذخيره سازي جانبي و منابع قابل دسترسي شبکه‌اي بهره مي‌برد و تنها ويژگي آسيب رسان اين بدافزار تلاش براي سو استفاده از OLEDB جهت دسترسي به پايگاه داده SQLاست. پس از اينکه Narilam به پايگاه داده SQL دست پيدا کرد، واژه‌هايي مالي مانند "BankCheck"، "A_seller"، "buyername" و نيز واژه‌هاي پارسي "Pasandaz" و "Vamghest" را جستجو مي‌کند. اين بدافزار همچنين جدول‌هايي با نام‌هاي "A_Sellers"، "person" و "Kalamast" را پاک کرده و از بين مي‌برد. Narilam تلاشي براي دزديدن داده‌اي از پايگاه داده نمي‌کند و برداشت بر اين است که تنها براي آسيب رساندن به پايگاه‌هاي داده برنامه‌ريزي شده باشد. همچنين از نام‌هايي که اين بدافزار در پايگاه داده‌ها جستجو مي‌کند پيداست که هدف، پايگاه‌هاي داده‌اي است که به گونه‌اي به کارگزيني، حسابداري و مديريت نيروي انساني شرکت‌ها مربوط مي‌شود. فعلا نرخ آلودگي و خطر Narilam پايين است، اما شرکت‌هايي که اصول امنيتي را رعايت نکرده باشند ممکن است دچار آسيب‌هاي سازماني و از دست دادن داده‌هاي خود شوند و نداشتن نسخه پشتيبان درست از پايگاه داده مي‌تواند سازمان آسيب ديده را تا زمان بازيافت داده‌هاي از دست رفته دچار برهم ريختگي کاري يا مالي کند.