Symantec advarer om malware-målretting av SQL-databaser

Symantec har oppdaget et annet merkelig stykke skadelig programvare som ser ut til å målrette mot Iran og er utformet for å blande seg med SQL-databaser.

Selskapet oppdaget malware, kalt W32.Narilam, 15. november, men på fredag ​​publiserte en mer detaljert skrive av Shunichi Imano. Narilam er vurdert som en "lav risiko" av selskapet, men ifølge et kart er flertallet av infeksjoner konsentrert i Iran, med noen i Storbritannia, det kontinentale USA og staten Alaska.

Interessant, Narilam deler noen likheter med Stuxnet, malware rettet mot Iran som forstyrret sin uranforfiningskapasitet ved å forstyrre industriell programvare som kjørte sin sentrifuger. I likhet med Stuxnet, er Narilam også en orm, som sprer seg gjennom flyttbare stasjoner og nettverksfiler, skrev Imano.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

En gang på en maskin ser den etter Microsoft SQL databaser. Det jager da for bestemte ord i SQL-databasen, hvorav noen er på persisk, Irans hovedspråkkurs - og erstatter elementer i databasen med tilfeldige verdier eller sletter bestemte felter.

Noen av ordene inkluderer "hesabjari", hvilket betyr at nåværende konto; "pasandaz", som betyr besparelser; og "asnad", som betyr økonomisk binding, skrev Imano.

"Malware har ingen funksjonalitet for å stjele informasjon fra det infiserte systemet og ser ut til å være programmert spesielt for å skade dataene som holdes innenfor den målrettede databasen," skrev Imano.. "Gitt de typer objekter som trusselen søker etter, ser de målrettede databasene ut til å være relatert til bestilling, regnskap eller kundestyringssystemer som tilhører selskaper."

Forbrukere som ikke er målrettet

De typer databaser som Narilam søker etter er usannsynlig å være ansatt av hjemmebrukere. Men Narilam kan være en hodepine for selskaper som bruker SQL-databaser, men ikke beholder sikkerhetskopier.

"Den berørte organisasjonen vil trolig lide betydelig forstyrrelse og til og med økonomisk tap mens du gjenoppretter databasen," skrev Imano. "Siden malware er rettet mot å sabotere den berørte databasen og ikke lager en kopi av den opprinnelige databasen først, vil de som er berørt av denne trusselen, ha en lang vei til gjenoppretting foran dem."

Stuxnet antas å ha vært skapt av USA og Israel med det formål å bremse ned Irans nukleare program. Siden oppdagelsen i juni 2010 har forskerne koblet den til andre malware, inkludert Duqu and Flame, som indikerer en langvarig spionasje og sabotasje-kampanje som har forårsaket bekymring over økende cyberkonflikt mellom nasjoner.

Send nyhetstips og kommentarer til jeremy_kirk @ idg.com. Følg meg på Twitter: @jeremy_kirk