به گزارش گروه علمی «خبرگزاری دانشجو»، هرچند که از پیدایش ویروس ناریلام حدود یک ماه میگذرد اما اهمیت و قدرت تخریب این بد افزار به حدی است که بر آن شدیم تا مجددا دربار وجود این کرم هشدار دهیم. این بدافزار ظاهراً به طور خاص سیستمهای مالی خاورمیانه و بخصوص ایران را هدف قرار داده است.
شرکت سیمانتک، تولیدکننده نرمافزارهای ضدویروس نورتون این کرم تازه را دبلیو 32 ناریلام (W32.Narilam) نامگذاری کرده و میگوید این بدافزار، پایگاه دادههای Microsoft SQL را با جایگزین کردن تصادفی محتویات، تخریب و به این طریق در نرمافزارهای مالی و حسابداری خرابکاری میکند.
به گفته سیمانتک، 97 درصد سامانههای آلوده به این کرم رایانهای، کامپیوترهای شرکتها و سازمانها بودهاند و کامپیوترهای شخصی میزان آلودگی به مراتب کمتری داشتهاند.
طبق یافتههای شرکت سیمانتک، این بدافزار عمدتاً در خاورمیانه فعال است و میزان توزیع آن در ایران بسیار بالاتر از کشورهای دیگر منطقه است اما مواردی در سایر کشورهای غربی هم گزارش شده است.
این بدافزار همچون کرمهای دیگر خود را روی دستگاهها کپی کرده و از راه حافظهها و درایوهای قابل حمل و شبکه گسترش پیدا میکند.
تا اینجا، این یک رفتار طبیعی چون بدافزارهای دیگر است اما هدف این کرم این بار ایجاد نوعی آشفتگی در پایگاه داده شرکتها و به طور مشخص سامانههای مالی آنها است.
ناریلام هیچ علاقهای به سرقت اطلاعات از سیستمهای آلوده ندارد و به نظر میرسد به طور خاص برای صدمه زدن به اطلاعات در پایگاه داده برنامهریزی شده است.
با توجه به رد پاهایی که از اسامی اشیاء و جدولهایی که در این کرم به دست آمده است، هدف آن آسیبرسانی به بخشهای مربوط به سفارش، حسابداری، و موارد مرتبط با مشتریان شرکتها است.
این کرم مقادیر رکوردهای پایگاه دادهها را به طور تصادفی جابهجا میکند و سازمان آسیبدیده احتمالاً به اختلالی قابل توجه در سامانه مالی و حسابرسی و حتی از دست دادن اطلاعات مالی دچار میشود.
هدف این کرم، دزدی اطلاعات مالی نیست، بلکه تخریب آنهاست و با توجه به بررسیها، هدف اصلی، بخشهای مربوط به سفارشها، حسابداری و سامانههای مدیریت مشتریان شرکتها است.
پژوهشهای انجامگرفته توسط شرکت سیمانتک نشان میدهد که بیش از 97 درصد قربانیان این کرم کاربران مرتبط با بخشهای تجاری هستند.
به جز شرکتهایی که نسخههای پشتیبان مناسبی را پیش از این از سامانههای خود تهیه کردهاند، بازگرداندن اطلاعات از دست رفته بسیار مشکل خواهد بود.
به عنوان تروجانی که هدفش آسیبرسانی به پایگاهدادهها بدون تهیه یک کپی از مقادیر آن است، عملیات بازیابی اطلاعات راهی بسیار طولانی و صعب به حساب میآید.
کرم ناریلام جداول و اشیائی در پایگاه داده نرمافزارها را هدف میگیرد که نامی مشخص و بعضاً فارسی دارند. این موضوع نشان میدهد که طراح یا طراحان به طور دقیق به نحوه کارکرد این نرمافزارها آشنایی داشته و بر چگونگی کار آن مسلط بودهاند.
پس از اینکه Narilam به پایگاه داده SQL دست پیدا کرد، واژههایی مالی مانند “BankCheck” ،”A_seller” ،”buyername” و نیز واژههای پارسی “Pasandaz” و “Vamghest” را جستجو میکند. این بدافزار همچنین جدولهایی با نامهای “A_Sellers” ،”person” و “Kalamast” را پاک کرده و از بین میبرد.
تاکنون واکنشی از سوی شرکتهای تولیدکننده نرمافزارهای مالی، شرکتهای تجاری، قربانیان احتمالی یا مقامات مسؤول در قبال آلودگی توسط بدافزار ناریلام گزارش نشده است.
ارسال نظرات