Database-Modifying
Malware Narilam a Corporate Sabotage Tool
Nov 26, 2012 9:58 AM EST,
By Fahmida
Y. Rashid
Bài được đưa lên
Internet ngày: 26/11/2012
Lời
người dịch: Trích đoạn: “Narilam rất giống các sâu
mạng khác, khi nó sao chép được bản thân vào các máy
bị lây nhiễm, bổ sung thêm các khóa đăng ký, và nhân
giống bản thân mình qua các ổ tháo lắp được và các
chia sẻ mạng... Một khi các cơ sở dữ liệu bị nhắm
đính được tìm ra, Narilam tìm kiếm các đối tượng và
các bảng đặc thù và hoặc là xóa các bảng hoặc thay
thế các khoản bằng các giá trị ngẫu nhiên. Phần
mềm độc hại này “dường như được lập trình đặc
biệt để gây hại cho các dữ liệu nằm bên trong cơ sở
dữ liệu bị nhắm đích”... các tác giả của phần
mềm độc hại đó luôn có thể sửa đổi các ví dụ
đang tồn tại để tấn công các mục tiêu mới. Trong
thực tế, Kaspersky Lab đã phát hiện vài biến thể khác
với cùng chức năng và phương pháp nhân bản. Các tập
đoàn càn chắc chắn họ duy trì các bản sao thường
xuyên của các cơ sở dữ liệu và các hệ thống sống
còn khác để tự bảo vệ họ khỏi dạng các tấn công
này”. Xem thêm: Symantec
cảnh báo phần mềm độc hại nhằm vào các cơ sở dữ
liệu SQL.
Các nhà nghiên cứu
đã phát hiện ra một phần mềm độc hại mới sửa đổi
các cơ sở dữ liệu của các tập đòng nhằm vào các hệ
thống ở Trung Đôgn, nhưng ví dụ dường như là một
dạng phá hoại các tập đoàn hơn là một vũ khí không
gian mạng ở phạm vi của Stuxnet.
Phần mềm độc hại
này, được phát hiện vào ngày 15/11 và được Symantec
đặt tên là W32.Narilam, dường như nhằm vào và sửa đổi
các cơ sở dữ liệu của các tập đoàn tại Trung Đông,
Shunichi Imano, một nhà nghiên cứu về an ninh của
Symantecs, đã viết trên blog Symantec
Connect. Nhìn thoáng qua, Narilam rất giống các sâu mạng
khác, khi nó sao chép được bản thân vào các máy bị lây
nhiễm, bổ sung thêm các khóa đăng ký, và nhân giống bản
thân mình qua các ổ tháo lắp được và các chia sẻ
mạng.
Narilam là “không
bình thường” vì nó có thể cập nhất cơ sở dữ liệu
Microsoft SQL qua giao thức Liên kết Đối tượng và Cơ sở
dữ liệu Nhúng - OLEDB (Object Linking and Embedding Database),
Imano nói. Sâu này đặc biệt nhằm vào các cơ sở dữ
liệu SQL với 3 tiên phân biệt, alim, maliran và shahd. Một
khi các cơ sở dữ liệu bị nhắm đính được tìm ra,
Narilam tìm kiếm các đối tượng và các bảng đặc thù
và hoặc là xóa các bảng hoặc thay thế các khoản bằng
các giá trị ngẫu nhiên, Imano nói.
Phần
mềm độc hại này “dường như được lập trình đặc
biệt để gây hại cho các dữ liệu nằm bên trong cơ sở
dữ liệu bị nhắm đích”, Imano viết.
Researchers
have uncovered a new malware that modified corporate databases
targeting Middle East systems, but the sample appears to be a form of
corporate sabotage rather than a cyber-weapon on the scale of
Stuxnet.
The
malware, discovered Nov. 15 and dubbed W32.Narilam by Symantec,
appears to be targeting and modifying corporate databases in the
Middle East, Shunichi Imano, a Symantec security researcher, wrote on
the Symantec
Connect blog. At first glance, Narilam is very similar to other
network worms, as it copies itself onto infected machines, adds
registry keys, and propagates itself through removable drives and
network shares.
Narilam
is "unusual" because it can update Microsoft SQL databases
over the Object Linking and Embedding Database (OLEDB) protocol,
Imano said. The worm specifically targets SQL databases with three
distinct names, alim, maliran, and shahd. Once the targeted databases
are found, Narilam looks for specific objects and tables and either
deletes the tables or replaces items with random values, Imano said.
The
malware "appears to be programmed specifically to damage the
data held within the targeted database," Imano wrote
How
Big a Threat Is It?
Mối đe dọa lớn
cỡ nào?
Đống các lây nhiễm
tới nay đã được tìm thấy tại Trung Đông, đặc biệt
tại Iran và Afghanistan, dù các lây nhiễm đã được báo
cáo có cả tại Mỹ và Anh. Phần mềm độc hại này từng
được tạo ra trong các năm 2009-2010, theo Đội Phân tích
và Nghiên cứu Toàn cầu của Kaspersky Lab. Trong khi “khoảng
80 vụ” đã được ghi nhận trong vòng 2 năm qua, thì thực
tế là chỉ 6 vụ lây nhiễm đã được báo cáo trong
tháng trước, gợi ý phần mềm độc hại “có lẽ hầu
như tuyệt chủng”, các nhà nghiên cứu đã viết trên
SecureList.
Gauss và Flame cũng
từng được phát hiện đầu năm nay nhằm vào các hệ
thống tại Trung Đông. Tuy nhiên, Narilam dường như không
có bất kỳ khả năng ăn cắp thông tin nào. Kaspersky Lab
đã không thấy bất kỳ “sự liên kết rõ ràng nào”
giữa Narilam và Duqu, Stuxnet, Flame và Gauss. Narilam đã được
phát triển bằng việc sử dụng Boralnd C++ Builder 6, trong
khi những con khác đã sử dụng các phiên bản khác nhau
của Microsoft Visual C, theo tin trên blog.
Đội Ứng cứu Khẩn
cấp Máy tính của Iran (Iran CERT) cũng đã cảnh báo đối
với việc so sánh Narilam với Stuxnet, Duqu và Flame trong một
tuyên bố, nói Narilam từng không phải là “một mối đe
dọa lớn, cũng không là một mẩu phức tạp của phần
mềm độc hại máy tính”. Nó từng trước đó được
tìm thấy trong năm 2010, và dường như có khả năng làm
hỏng chỉ cơ sở dữ liệu được đưa vào trong một
phần mềm kế toán doanh nghiệp nhỏ được một công ty
không tên tuổi của Iran phát triển, CERT nói.
“Bản chất tự
nhiên đơn giản của phần mềm độc hại trông rất
giống một sự thử gây hại cho uy tín của công ty phần
mềm trong các khách hàng của họ”, Iran CERT nói.
Narilam không là “mối
đe dọa cho những người sử dụng thông thường”, theo
tuyên bố của CERT, nhưng các khách hàng của gói phần
mềm đặc biệt đó nên có các bản sao lưu cơ sở dữ
liệu của họ và quét các hệ thống của họ với các
sản phẩm chống virus được cập nhật.
The
bulk of the infections thus far have been found in the Middle East,
particularly Iran and Afghanistan, although infections have been
reported in the United States and the United Kingdom. The malware
appeared to have been created between 2009 and 2010, according to
Kaspersky Lab's Global Research and Analysis Team. While "about
80 incidents" have been recorded over the past two years, the
fact that just six infections were reported in the past month
suggests the malware is "probably almost extinct," the
researchers wrote on SecureList.
Gauss
and Flame also were discovered earlier this year targeting systems in
the Middle East. However, Narilam does not appear to have any
information-stealing capabilities. Kaspersky Lab did not find any
"obvious connection" between Narilam and Duqu, Stuxnet,
Flame, and Gauss. Narilam was developed using Borland C++ Builder 6,
while the others used various versions of Microsoft Visual C,
according to the post.
Iran's
Computer Emergency Response Team also warned against comparing
Narilam with Stuxnet, Duqu, and Flame in a statement, claiming
Narilam was not "a major threat, nor a sophisticated piece of
computer malware." It was previously detected in 2010, and
appears able to corrupt only the database included in a small
business accounting software developed by an unnamed Iranian company,
CERT said.
"The
simple nature of the malware looks more like a try to harm the
software company reputation among their customers," Iran-CERT
said.
Narilam
is "not a threat for general users," according to the CERT
statement, but customers of that particular software package should
make backups of their database and scan their systems with updated
antivirus products.
Corporate
Sabotage Tool
Công cụ phá hoại
các tập đoàn
Kaspersky Lab đã phát
hiện một cảnh báo từ một công ty Iran tên là
"TarrahSystem" kêu Narilam từng nhằm vào phần mềm
của họ. Dường như là Maliran (Các ứng dụng Tài chính
và Công nghiệp được tích hợp), Amin (phần mềm ngân
hàng và vay nợ), và Shahd (phần mềm thương mại/tài
chính tích hợp) tất cả là các sản phẩm của
TarrahSystem.
Trong các cơ sở dữ
liệu được nhắm đích, Narilam tìm các bảng và các đối
tưowngj với các tên có liên quan tới tài chính như
BankCheck, A_Sellers, và buyername. Các từ của Vịnh Persian
như Pasandaz, (tiết kiệm), Hesabjari (tài khoản hiện hành)
R_DetailFactoreForosh (forosh means sale), End_Hesab (hesab means
account) và Vamghest (trả vay nợ) cũng nằm trong danh sách
các khoản mục mà Narilam biết được.
Phần mềm độc hại
đã sửa các đối tượng sau: Asnad.SanadNo (sanad có nghĩa
là tài liệu), Asnad.LastNo, Asnad.FirstNo, và Pasandaz.Code,
refcheck.amount, và buyername.Buyername. Narilam cũng xóa các
bảng sau: A_Sellers, person, và Kalamast.
“Trừ phi có các bản
sao lưu phù hợp, còn thì cơ sở dữ liệu bị lây nhiễm
sẽ khó mà phục hồi được”, Imano của Symantec đã
cảnh báo.
Thậm chí nếu ví dụ
về phần mềm độc hại đặc biệt này không là mối đe
dọa chính, thì thực tế vẫn là các tác giả của phần
mềm độc hại đó luôn có thể sửa đổi các ví dụ
đang tồn tại để tấn công các mục tiêu mới. Trong
thực tế, Kaspersky Lab đã phát hiện vài biến thể khác
với cùng chức năng và phương pháp nhân bản. Các tập
đoàn càn chắc chắn họ duy trì các bản sao thường
xuyên của các cơ sở dữ liệu và các hệ thống sống
còn khác để tự bảo vệ họ khỏi dạng các tấn công
này.
Kaspersky
Lab uncovered an alert from an Iranian company named "TarrahSystem"
claiming Narilam was targeting their software. It appears Maliran
(Integrated Financial and Industrial Applications), Amin (Banking and
Loans Software), and Shahd (Integrated Financial/Commercial Software)
are all TarrahSystem products.
Within
the targeted databases, Narilam looks for tables and objects with
financial-related names such as BankCheck, A_Sellers, and buyername.
Persian words such as Pasandaz, (savings), Hesabjari (current
account) R_DetailFactoreForosh (forosh means sale), End_Hesab (hesab
means account) and Vamghest (installment loans) are also on the list
of terms Narilam recognizes.
The
malware modified the following objects: Asnad.SanadNo (sanad means
document), Asnad.LastNo, Asnad.FirstNo, and Pasandaz.Code,
refcheck.amount, and buyername.Buyername. Narilam also deletes the
following tables: A_Sellers, person, and Kalamast.
"Unless
appropriate backups are in place, the affected database will be
difficult to restore," Symantec's Imano warned.
Even
if this particular malware sample winds up not being a major threat,
the fact remains that malware authors can always modify existing
samples to attack new targets. In fact, Kaspersky Lab uncovered
several other variants with the same functionality and method of
replication. Corporations need to make sure they maintain regular
backups of databases and other critical systems in order to protect
themselves from these kind of attacks.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.