حمله کرم دستکاری کننده پایگاه داده به ایران

worm

امنیت یکی از مسایل بسیار مهم به ویژه در دنیای سایبر می باشد.در چند سال گذشته شاهد نرم افزارهای مخرب پیچده ای بودیم که برای خرابکاری در فعالیت ها و کسب و کارها با اهداف خاص طراحی شده بودند مانند W32.Stuxnet که برای سیستم های اتوماسیون صنعتی طراحی شده بود و نمونه ای دیگری چون W32.Disstrack و W32.Flamer که هر دوی آنها توانایی دستکاری اطلاعات و پاک کردن فایل ها از هارد دیسک را داشتند.

از این رو این بد افزار ها با هر شکلی می توانند برای افراد و شرکت ها دردسر ساز شوند و باعث بروز مشکلات جدی و جبران ناپذیری شوند.

در پی این موضوع به گزارش شرکت امنیتی سمانتک در این میان یک تهدید دیگری بوجود آمده است که باعث آشفتگی زیادی شده است .در این لحظه این تهدید پایگاه های داده شرکت های بزرگ را دستکاری و مورد هدف قرار داده است که از آن به نام کرم W32.Narilam نام برده شده است.

بر اساس شناسایی و مشاهده ها W32.Narilam عمدتا در خاور میانه فعال است.

Distribution of W32.Narilam

 

درست مانند بسیاری از کرم های دیگر که در گذشته دیده شده بودند این کرم خود را در دستگاه های آلوده کپی کرده ، به کلیدهای ریجستری اضافه کرده و خود را از طریق دستگاه های قابل حمل USB و منابع اشترک شده شبکه پخش می کند.

بسیاری از این ابزارهای مخرب معمولا با استفاده از زبان برنامه نویسی دلفی نوشته می شوند ولی نکته غیر معمول در مورد این تهدید اینست که این کرم در سیستم به دنبال پایگاه داده Microsoft SQL که از طریق (OLEDB (Object Linking and Embedding, Database قابل دسترس هستند جستجو می کند و داده های آنها را تغییر می دهد و یا آنها را پاک می کند.این کرم به طور ویژه دیتابیس هایی با سه نام : alim,maliran و shahd را مورد هدف قرار می دهد.

در پایین لیستی از نام های شی یا جدول (object/table) که بوسیله این تهدید قابل دسترس هستند را مشاهده می کنید :

Hesabjari (“current account” in Arabic/Persian)

Holiday

Holiday_1

Holiday_2

Asnad (“financial bond” in Arabic)

A_sellers

A_TranSanj

R_DetailFactoreForosh (“forosh” means “sale” in Persian)

person

pasandaz (“savings” in Persian)

BankCheck

End_Hesab (“hesab” means “account” in Persian)

Kalabuy

Kalasales

REFcheck

buyername

Vamghest (“instalment loans” in Persian)

این کرم اقلام ویژه ای را در پایگاه داده با مقادیر تصادفی جایگزین می کند که در زیر برخی از مواردی را که با این تهدید روبرو هستند را مشاهده می کنید :

Asnad.SanadNo (“sanad” means “document” in Persian)

Asnad.LastNo

Asnad.FirstNo

A_TranSanj.Tranid

Pasandaz.Code (“pasandaz” means “savings” in Persian)

n_dar_par.price

bankcheck.state

End_Hesab.Az

Kalabuy.Serial

sath.lengths

Kalasales.Serial

refcheck.amount

buyername.Buyername

همچنین این کرم جداول را نیز حذف می کند از جمله آنهایی که با نام های زیر باشند :

A_Sellers

person

Kalamast

در زیر بخشی از این روش که در کد زیر مشخص شده است را مشاهده می کنید :

code-worm

این بد افزار هیچ گونه قابلیتی برای سرقت اطلاعات از سیستم آلوده را ندارد بلکه به نظر می رسد که بطور خاص برای صدمه زدن به اطلاعات در پایگاه داده هدف طراحی شده است و با توجه به نوع اشیا (Object) و جستجو،پایگاه داده هایی که به نظر می رسد مورد تهدید قرار دارند عبارتند از ordering,accounting و سیستم های مدیریت مشتری متعلق به شرکت، هدف این کرم می باشند.

پیش بینی نشان می دهد که اکثریت کاربران شرکت های بزرگ تحت تاثیر این تهدید قرار دارند و هدف پایگاه داده های آنها می باشد و بعید می باشد که در سیستم های خانگی یافت شوند.

مگر اینکه به صورت مرتب از پایگاه داده ها در مکان مناسبی نسخه پشتیبان تهیه شود زیرا بازیابی دیتابیس آسیب دیده مشکل است و احتمالا سازمان های آسیب دیده با اختلال و مشکلات قابل توجه ای روبرو خواهد شد.

Narilam infections

کرم W32.Narilam روی سیستم عامل های Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, WindowsServer 2003, Windows Server 2008, Windows Vista, Windows XP  تاثیر می گذارد و کاربران گنو/لینوکس بدون هیچ نگرانی می توانند زندگی کنند!

 

 

۵ دیدگاه

دیدگاه شما چیست؟