Symantec waarschuwt voor malwaretargeting op SQL-databases

Symantec heeft een ander vreemd stukje malware ontdekt dat lijkt te zijn gericht op Iran en is bedoeld om zich te bemoeien met SQL-databases.

Het bedrijf ontdekte de malware, W32.Narilam genaamd, op 15 november, maar publiceerde vrijdag een meer gedetailleerde opschrijving door Shunichi Imano. Narilam wordt door het bedrijf als een "laag risico" beoordeeld, maar volgens een kaart is het grootste deel van de infecties geconcentreerd in Iran, met een paar in het VK, de continentale VS en de staat Alaska. Narilam deelt enkele gelijkenissen met Stuxnet, de malware gericht op Iran die zijn uraniumverfijningsmogelijkheden verstoorde door interfererende industriële software die zijn centrifuges draaide. Net als Stuxnet is Narilam ook een worm die zich verspreidt over verwisselbare schijven en netwerkbestandsshares, schreef Imano.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Eens op een machine is het op zoek naar Microsoft SQL databases. Vervolgens wordt gezocht naar specifieke woorden in de SQL-database, waarvan sommige in het Perzisch, de hoofdtaal van Iran, en worden items in de database vervangen door willekeurige waarden of worden bepaalde velden verwijderd.

Sommige woorden bevatten "hesabjari", wat betekent lopende rekening; "pasandaz", wat besparingen betekent; en "asnad", wat financiële binding betekent, schreef Imano.

"De malware heeft geen functionaliteit om informatie van het geïnfecteerde systeem te stelen en lijkt specifiek te zijn geprogrammeerd om de gegevens in de beoogde database te beschadigen," schreef Imano. "Gezien de soorten objecten waarnaar de dreiging op zoek is, lijken de getargete databases te maken te hebben met systemen voor bestellingen, boekhouding of klantenbeheer van bedrijven."

Consumenten niet getarget

De soorten databases die door Narilam worden gezocht, zijn waarschijnlijk niet in gebruik bij thuisgebruikers. Maar Narilam kan een hoofdpijn zijn voor bedrijven die SQL-databases gebruiken, maar geen back-ups maken.

"De getroffen organisatie zal waarschijnlijk aanzienlijke storingen en zelfs financieel verlies lijden terwijl de database wordt hersteld", schreef Imano. "Aangezien de malware is bedoeld om de getroffen database te saboteren en niet eerst een kopie van de oorspronkelijke database maakt, zullen degenen die door deze bedreiging worden getroffen, een lange weg naar herstel voor hun hebben."

Stuxnet wordt algemeen beschouwd als een gemaakt door de VS en Israël met de bedoeling het nucleaire programma van Iran te vertragen. Sinds de ontdekking in juni 2010 hebben onderzoekers het gekoppeld aan andere malware, waaronder Duqu en Flame, wat wijst op een langlopende spionage- en sabotagecampagne die aanleiding heeft gegeven tot bezorgdheid over de escalerende cyberconflicten tussen landen.

Stuur nieuws en opmerkingen naar jeremy_kirk @ idg.com. Volg mij op Twitter: @jeremy_kirk