Stuxnet-achtige worm uit op SQL-databases
De malware werd op 15 november ontdekt en vandaag gaf Shunichi Imano van Symantec meer details over de worm vrij. Symantec deelde de worm in de categorie ‘low risk’ in, maar opvallend is dat de meerderheid van de besmettingen in Iran hebben plaatsgevonden. Er waren ook besmettingen in het Verenigd Koninkrijk en de Verenigde Staten. De worm is erop gericht om SQL-databases van zakelijke gebruikers te veranderen.
Shutterstock
Shutterstock
De worm kopieert zichzelf op een geïnfecteerde machine en verspreidt zich via verwijderbare harde schijven en gedeelde documenten op netwerken. Het is geschreven in Delphi. Bijzonder aan w32.Narilam is dat de worm de functionaliteit heeft om SQL-databases te updaten, als deze toegankelijk is via OLEDB (Object Linking and Embedding, Database). De worm gaat op zoek naar SQL-databases met de namen alim, maliran en shahd.
Enige functie van worm lijkt beschadigen van database
Wanneer de worm een database heeft gevonden, gaat hij op zoek naar specifieke woorden in de databank. Een aantal van deze woorden zijn in het Perzisch, de taal van Iran. De velden krijgen een andere waarde of worden door de worm gewist. De malware heeft geen functionaliteit om informatie te stelen, stelt Symantec. Het doel van de worm lijkt te zijn de informatie in de databases te corrumperen.
Specifieke object/table-namen als Hesabjari, Holiday, Asnad, BankCheck en person geven de worm toegang. Ook kan de worm onderdelen in een databank vervangen door willekeurige waarden, of velden helemaal wissen. Volgens Symantec lopen consumenten geen gevaar, omdat de worm typisch zakelijke databases tot doelwit heeft. Bedrijven die geen back-ups van SQL-databases hebben gemaakt, zijn gewaarschuwd.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee