امنیت یکی از مسایل بسیار مهم به ویژه در دنیای سایبر می باشد.در چند سال گذشته شاهد نرم افزارهای مخرب پیچده ای بودیم که برای خرابکاری در فعالیت ها و کسب و کارها با اهداف خاص طراحی شده بودند مانند W32.Stuxnet که برای سیستم های اتوماسیون صنعتی طراحی شده بود و نمونه ای دیگری چون W32.Disstrack و W32.Flamer که هر دوی آنها توانایی دستکاری اطلاعات و پاک کردن فایل ها از هارد دیسک را داشتند.
از این رو این بد افزار ها با هر شکلی می توانند برای افراد و شرکت ها دردسر ساز شوند و باعث بروز مشکلات جدی و جبران ناپذیری شوند.
در پی این موضوع به گزارش شرکت امنیتی سمانتک در این میان یک تهدید دیگری بوجود آمده است که باعث آشفتگی زیادی شده است .در این لحظه این تهدید پایگاه های داده شرکت های بزرگ را دستکاری و مورد هدف قرار داده است که از آن به نام کرم W32.Narilam نام برده شده است.
بر اساس شناسایی و مشاهده ها W32.Narilam عمدتا در خاور میانه فعال است.
درست مانند بسیاری از کرم های دیگر که در گذشته دیده شده بودند این کرم خود را در دستگاه های آلوده کپی کرده ، به کلیدهای ریجستری اضافه کرده و خود را از طریق دستگاه های قابل حمل USB و منابع اشترک شده شبکه پخش می کند.
بسیاری از این ابزارهای مخرب معمولا با استفاده از زبان برنامه نویسی دلفی نوشته می شوند ولی نکته غیر معمول در مورد این تهدید اینست که این کرم در سیستم به دنبال پایگاه داده Microsoft SQL که از طریق (OLEDB (Object Linking and Embedding, Database قابل دسترس هستند جستجو می کند و داده های آنها را تغییر می دهد و یا آنها را پاک می کند.این کرم به طور ویژه دیتابیس هایی با سه نام : alim,maliran و shahd را مورد هدف قرار می دهد.
در پایین لیستی از نام های شی یا جدول (object/table) که بوسیله این تهدید قابل دسترس هستند را مشاهده می کنید :
Hesabjari (“current account” in Arabic/Persian)
Holiday
Holiday_1
Holiday_2
Asnad (“financial bond” in Arabic)
A_sellers
A_TranSanj
R_DetailFactoreForosh (“forosh” means “sale” in Persian)
person
pasandaz (“savings” in Persian)
BankCheck
End_Hesab (“hesab” means “account” in Persian)
Kalabuy
Kalasales
REFcheck
buyername
Vamghest (“instalment loans” in Persian)
این کرم اقلام ویژه ای را در پایگاه داده با مقادیر تصادفی جایگزین می کند که در زیر برخی از مواردی را که با این تهدید روبرو هستند را مشاهده می کنید :
Asnad.SanadNo (“sanad” means “document” in Persian)
Asnad.LastNo
Asnad.FirstNo
A_TranSanj.Tranid
Pasandaz.Code (“pasandaz” means “savings” in Persian)
n_dar_par.price
bankcheck.state
End_Hesab.Az
Kalabuy.Serial
sath.lengths
Kalasales.Serial
refcheck.amount
buyername.Buyername
همچنین این کرم جداول را نیز حذف می کند از جمله آنهایی که با نام های زیر باشند :
A_Sellers
person
Kalamast
در زیر بخشی از این روش که در کد زیر مشخص شده است را مشاهده می کنید :
این بد افزار هیچ گونه قابلیتی برای سرقت اطلاعات از سیستم آلوده را ندارد بلکه به نظر می رسد که بطور خاص برای صدمه زدن به اطلاعات در پایگاه داده هدف طراحی شده است و با توجه به نوع اشیا (Object) و جستجو،پایگاه داده هایی که به نظر می رسد مورد تهدید قرار دارند عبارتند از ordering,accounting و سیستم های مدیریت مشتری متعلق به شرکت، هدف این کرم می باشند.
پیش بینی نشان می دهد که اکثریت کاربران شرکت های بزرگ تحت تاثیر این تهدید قرار دارند و هدف پایگاه داده های آنها می باشد و بعید می باشد که در سیستم های خانگی یافت شوند.
مگر اینکه به صورت مرتب از پایگاه داده ها در مکان مناسبی نسخه پشتیبان تهیه شود زیرا بازیابی دیتابیس آسیب دیده مشکل است و احتمالا سازمان های آسیب دیده با اختلال و مشکلات قابل توجه ای روبرو خواهد شد.
کرم W32.Narilam روی سیستم عامل های Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, WindowsServer 2003, Windows Server 2008, Windows Vista, Windows XP تاثیر می گذارد و کاربران گنو/لینوکس بدون هیچ نگرانی می توانند زندگی کنند!
دلم برای ویندوزیها میسوزه 🙂
🙂
آره خدایش 😀
یه استرسی گرفته بودم که نگو؟ وقتی اسم لینوکسو ندیدم راحت شدم.خخخخ…
اخه ویندوز بیچاره گناه داره