Symantec&ЛК: Деструктивное кибеоружие для уничтожения вражеских баз данных

Symantec vs KasperskyАнтивирусные компании Symantec и "Лаборатория Касперского" осуществили анализ новой вредоносной программы, обнаруженной на Ближнем Востоке. Данная программа относится к классу кибероружия, нацеленного на диверсии в компьютерной инфраструктуре противника, по примеру Stuxnet, Flame и прочих.

Червь W32.Narilam написан на Delphi, распространяется через флэшки и в локальной сети, прописывается в реестре Windows. Червь взаимодействует с базами данных Microsoft SQL через OLEDB. На заражённых компьютерах осуществляется поиск баз данных с тремя конкретными названиями:

  • alim;
  • maliran;
  • shahd.


Список объектов и названий таблиц, интересующих авторов вредоносной программы:

  • Hesabjari ("текущий аккаунт" на арабском/персидском)
  • Holiday
  • Holiday_1
  • Holiday_2
  • Asnad ("финансовые обязательства" на арабском)
  • A_sellers
  • A_TranSanj
  • R_DetailFactoreForosh ("forosh" означает "продажу" на персидском)
  • person
  • pasandaz ("накопления" на персидском)
  • BankCheck
  • End_Hesab ("hesab" означает "аккаунт" на персидском)
  • Kalabuy
  • Kalasales
  • REFcheck
  • buyername
  • Vamghest ("взносы по кредитам" на персидском)


Червь заменяет некоторые значения в таблицах на случайные значения, а также удаляет некоторые таблицы, в том числе со следующими названиями:

  • A_Sellers
  • person
  • Kalamast


Вредоносная программа не предназначена для шпионажа, то есть в ней нет функционала для копирования информации и отправки на удалённый сервер. Она спроектирована конкретно на повреждение и удаление баз данных. По оценке "Лаборатории Касперского", исходя из заголовков исполняемых файлов, модули программы были скомпилированы в 2009-2010 годы.

W32.Narilam получил особенное распространение в Иране. Его следы также обнаружены в США и Великобритании.


Обновлено (27.11.2012 21:25)