کشف بدافزار ناریلام و تهدید شرکت‌های ایرانی

به تازگی بدافزار جدیدی کشف شده که به ادعای سیمانتک عمدتاً در خاورمیانه فعال است و میزان توزیع آن در ایران بسیار بالاتر از کشورهای دیگر منطقه است اما مواردی در انگلیس و آمریکا هم گزارش شده است.

به گزارش سرویس بین الملل سیتنا، شرکت سیمانتک، تولیدکننده نرم‌افزارهای ضدویروس‌ نورتون در گزارشی، این کرم تازه را دبلیو ۳۲ ناریلام (W32.Narilam) نام‌گذاری کرده و می‌گوید این بدافزار، پایگاه داده‌های Microsoft SQL را با جایگزین کردن تصادفی محتویات، تخریب و به این طریق در نرم‌افزارهای مالی و حسابداری خرابکاری می‌کند.

به گفته سیمانتک، ۹۷ درصد سامانه‌های آلوده به این کرم رایانه‌ای، کامپیوترهای شرکت‌ها و سازمان‌ها بوده‌اند و کامپیوترهای شخصی میزان آلودگی به مراتب کمتری داشته‌اند. این بدافزار همچون کرم‌های دیگر خود را روی دستگاه‌ها کپی کرده و از راه حافظه‌ها و درایوهای قابل حمل و شبکه گسترش پیدا می‌کند.

تا اینجا، این یک رفتار طبیعی چون بدافزارهای دیگر است اما هدف این کرم این بار ایجاد نوعی آشفتگی در پایگاه داده شرکت‌ها و به طور مشخص سامانه‌های مالی آنها است.

به گزارش بی بی سی، این بدافزار پایگاه داده‌های اس‌کیو‌ال مایکروسافت را تغییر داده و به‌روزرسانی می‌کند. هدف آن به طور مشخص پایگاه داده سه نرم‌افزار به نام‌های علیم، مالیران و شهد است.

برنامه‌های شهد و مالیران ظاهرا از تولیدات شرکت طراح سیستم هستند. نرم‌افزار جامع مالیران برای شرکت‌ها و تعاونی‌های مصرف و نرم‌افزار یکپارچه شهد برای شرکت‌های بازرگانی و فروشگاه‌ها طراحی شده‌اند.

ناریلام هیچ علاقه‌ای به سرقت اطلاعات از سیستم‌های آلوده ندارد و به نظر می‌رسد به طور خاص برای صدمه زدن به اطلاعات در پایگاه داده برنامه‌ریزی شده است.

با توجه به رد پاهایی که از اسامی اشیاء و جدول‌هایی که در این کرم به دست آمده است، هدف آن آسیب‌رسانی به بخش‌های مربوط به سفارش، حسابداری، و موارد مرتبط با مشتریان شرکت‌ها است.

توزیع کرم ناریلام روی نقشه جهان. ایران بیشترین میزان آلودگی را دارد

این کرم مقادیر رکوردهای پایگاه داده‌ها را به طور تصادفی جابه‌جا می‌کند و سازمان آسیب‌دیده احتمالاً به اختلالی قابل توجه در سامانه مالی و حسابرسی و حتی از دست دادن اطلاعات مالی دچار می‌شود.

هدف این کرم، دزدی اطلاعات مالی نیست، بلکه تخریب آنهاست و با توجه به بررسی‌ها، هدف اصلی، بخش‌های مربوط به سفارش‌ها، حسابداری و سامانه‌های مدیریت مشتریان شرکت‌ها است.

پژوهش‌های انجام‌گرفته توسط شرکت سیمانتک نشان می‌دهد که بیش از ۹۷ درصد قربانیان این کرم کاربران مرتبط با بخش‌های تجاری هستند.

به جز شرکت‌هایی که نسخه‌های پشتیبان مناسبی را پیش از این از سامانه‌های خود تهیه کرده‌اند، بازگرداندن اطلاعات از دست رفته بسیار مشکل خواهد بود.

به عنوان تروجانی که هدفش آسیب‌رسانی به پایگاه‌داده‌ها بدون تهیه یک کپی از مقادیر آن است، عملیات بازیابی اطلاعات راهی بسیار طولانی و صعب به حساب می‌آید.

برخی از کارشناسان معتقدند طراحی چنین بدافزارهایی نیاز به نیروی انسانی و پشتیبانی مالی زیادی دارد که تأمین آن تنها از سوی دولت‌ها میسر است.

کرم ناریلام جداول و اشیائی در پایگاه داده نرم‌افزارها را هدف می‌گیرد که نامی مشخص و بعضاً فارسی دارند. این موضوع نشان می‌دهد که طراح یا طراحان به طور دقیق به نحوه کارکرد این نرم‌افزارها آشنایی داشته و بر چگونگی کار آن مسلط بوده‌اند.

تاکنون واکنشی از سوی شرکت‌های تولیدکننده نرم‌افزارهای مالی، شرکت‌های تجاری، قربانیان احتمالی یا مقامات مسؤول در قبال آلودگی توسط بدافزار ناریلام گزارش نشده است.

انتهای پیام