Iran fokuserad malware stampar med affärs databaser

Symantec varnar företag att se upp för ny skadlig kod som saboterar företagets databaser genom manipulering av objekt inuti dem.

Den “Narilam” mask riktar Microsoft SQL-databaser, att få tillgång till vissa tabeller och objekt. Väl inne, det ser för specifika ord sedan ersätter dessa med slumpmässiga värden, eller tar bort vissa tabeller.

Den skadliga program har inte någon funktion för att stjäla information från den infekterade systemet och verkar vara programmeras specifikt skada de uppgifter som i den riktade databasen “Symantec Security forskare Shunichi Imano skrev i ett blogginlägg på torsdag.” Med tanke på de typer av objekt att hotet söker efter de riktade databaserna verkar vara relaterade till beställning, redovisning, eller kundhanteringssystem som hör till företag.

“De allra flesta användare påverkas av detta hot är företagsanvändare.” – Symantec

“Vår fält telemetri indikerar att den stora majoriteten av användare påverkas av detta hot är företagsanvändare”, tillade han.

Narilam söker efter databaser som heter “alim”, “marilan” eller “Shahd”, sedan söker efter termer som “BankCheck” och “buyername”. Enligt Imano, några av orden är i Persiska – “Hesabjari”, som betyder “bytesbalansen” och “pasandaz”, som betyder “besparingar”.

De flesta av de Narilam-infekterade maskiner i Iran – vilket för tankarna till Stuxnet, som också syftar till att sabotera företagens system. Emellertid har masken även träffa organisationer i Storbritannien och USA, enligt Symantec, men det totala antalet infektioner hittills är låg.

“Vad som är intressant är att det är specifikt riktade persiska regionen. Vi vanligtvis inte ser hot som riktar finansiella bokföringsprogram inom detta område”, Peter Coogan, högre säkerhet svarschef på Symantec, berättade webbplats.

Innovation,? M2M marknaden studsar tillbaka i Brasilien, säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer

Med tanke på detta är Symantec söker fler komponenter till skadlig kod, ta reda på vilka, om några, andra åtgärder det kan ta. Detta sammanhang kan avslöja om Narilam har något samband med Stuxnet eller om det finns någon spyware inblandade.

Just nu, inte Symantec inte vet hur skadlig kod blir på system eller vem som ligger bakom det, säger Coogan. Medan de flesta finansiella trojaner genereras av databrott gäng, Narilam s iranska fokusoptioner utredning om den används för sabotage eller spioneri.

Microsoft Israel öppnar sin accelerator till en andra våg av nystartade företag med vad man hoppas är en ny metod för att hjälpa till att inspirera framgång – inrymt i R & D Center som syftar till att hålla grande dame av tech före kurvan.

“Vi ser att identifiera andra potentiella komponenter i detta hot för att se om det finns mer att detta hot än en rent skadlig hot”, säger Coogan.

Men dessa undersökningar är fortfarande i sina tidiga dagar, varnade han. Medan Symantec började upptäcka skadlig kod två år sedan, var det från början ses som en trojansk häst. Det var först när forskarna fick tag på fler prover att de tog en närmare titt och började visa det som ett särskilt hot.

Vad de inte vet är att Narilam kopierar sig själv till en infekterad maskin, tillägger registernycklar och sprider sig via delade mappar och anställdas användning av flyttbara enheter. Dessutom, de vet att det påverkar flera versioner av Windows, inklusive Windows 7, Windows Server 2008, Vista och XP.

Tidiga dagar

“Vad är ovanligt om detta hot är det faktum att det har funktioner för att uppdatera en Microsoft SQL-databas om det är tillgängligt via OLEDB,” sade Imano. Objektlänkning och inbäddning, är Database (OLE DB) en Microsoft API för att komma åt data från olika datalager.

Företagen kommer att ha svårt att återställa en vandaliserad databas, varnade Symantec, om de inte har säkerhetskopior.

Den berörda organisationen kommer sannolikt att drabbas betydande störningar och även ekonomisk förlust samtidigt återställa databasen “, säger Imano.” Som malware syftar till att sabotera den drabbade databasen och inte göra en kopia av den ursprungliga databasen första, de som drabbats av detta hot kommer har en lång väg till återhämtning framför sig.

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer