شركت كاميران نمایندگی ESET | Kaspersky

ویروس ناریلام - Narilam :
________________________________________

اخیرا بدافزار جدیدی به نام ناریلام ( Narilam) (Win32/Agent.NHX) به دام ضدویروس‌ها افتاده است که ظاهرا گستره انتشار آن بیشتر در خاورمیانه بوده است. هرچند که بنابر تحلیل فنی شرکت های امنیتی و همچنین اعلام مرکز ماهر ایران، ناریلام - Narilam تنها بدافزار مبتدی و پیش پا افتاده‌ای است، اما به هرحال از آنجا که پایگاه‌های داده را هدف می‌گیرد، توجه به بروز بودن آنتی ویروس و دیگر ملاحظات امنیتی را باید مد نظر قرار داد.

اگر نام ویروس Narilam را برعکس بنویسیم عبارت Maliran (مالی ایران) بدست می آید. عملکرد این ویروس و دامنه انتشار آن حاکی از این است که این بدافزار نرم افزارهای مالی ایران (نرم افزار مالیران) را نشانه رفته است.

W32.Narilam که نخستین بار در پانزدهم نوامبر گزارش شده اما نگارش های شبیه این نوع بد افزار بسیار پیشتر توسط آنتی ویروس های NOD32 با عنوان Win32/Agent.NHX شناسائی شده اند. این بد افزار از روش‌های قدیمی و شناخته شده دیگر بدافزارها مانند کپی کردن خود در کامپیوتر آلوده، افزودن کلیدهای رجیستری، سوء استفاده از دستگاه‌های ذخیره سازی جانبی و منابع قابل دسترسی شبکه‌ای بهره جویی می‌کند و تنها ویژگی آسیب رسان این بدافزار تلاش برای سو استفاده از OLEDB جهت دسترسی به پایگاه داده SQLاست.

پس از اینکه Narilam به پایگاه داده SQL دست پیدا کرد، واژه‌هایی مالی مانند “BankCheck”، “A_seller”، “buyername” و نیز واژه‌های پارسی “Pasandaz” و “Vamghest” را جستجو می‌کند. این بدافزار همچنین جدول‌هایی با نام‌های “A_Sellers”، “person” و “Kalamast” را پاک کرده و از بین می‌برد.

Narilam تلاشی برای دزدیدن داده‌ای از پایگاه داده نمی‌کند و برداشت بر این است که تنها برای آسیب رساندن به پایگاه‌های داده برنامه ریزی شده باشد. همچنین از نام‌هایی که این بد افزار در پایگاه داده‌ها جستجو می‌کند پیداست که هدف، پایگاه‌های داده‌ای است که به گونه‌ای به کارگزینی، حسابداری و مدیریت نیروی انسانی شرکت‌ها مربوط می‌شود.

عامل اصلی انتشار این ویروس نیز همانند ویروسهای استاکس نت و فلیم، حافظه های جانبی و Cooldisk ها گزارش شده است و هدف اصلی آن ایجاد آشفتگی در سیستمهای مالی است. البته ماموریت اصلی ویروسهای مذکور، جاسوسی بود اما ویروس Narilam رفتار جاسوسی نداشته و صرفا اقدام به تخریب بانکهای اطلاعاتی می کند.
این بدافزار پایگاه داده سه نرم افزار علیم، مالیران و شهد را هدف قرار می دهد.
در دیتابیس این نرم افزارها Tableهای زیر مورد استفاده بدافزار قرار میگیرند:

Hesabjari
    Holiday
    Holiday_1
    Holiday_2
    Asnad
    A_sellers
    A_TranSanj
    R_DetailFactoreForosh
    person
    pasandaz
    BankCheck
    End_Hesab
    Kalabuy
    Kalasales
    REFcheck
    buyername
    Vamghest

همچنین اطلاعات Tableهای زیر با اطلاعات تصادفی مورد تخریب قرار می گیرند:

Asnad.SanadNo
    Asnad.LastNo
    Asnad.FirstNo
    A_TranSanj.Tranid
    Pasandaz.Code
    n_dar_par.price
    bankcheck.state
    End_Hesab.Az
    Kalabuy.Serial
    sath.lengths
    Kalasales.Serial
    refcheck.amount
    buyername.Buyername

این بدافزار همچنین اقدام به حذف Tableهای زیر می کند:

A_Sellers
    person
    Kalamast

نرم افزارهای شهد و مالیران از تولیدات شرکت طراح سیستم هستند. نرم‌افزار جامع مالیران برای شرکت‌ها و تعاونی‌های مصرف و نرم‌افزار یکپارچه شهد برای شرکت‌های بازرگانی و فروشگاه‌ها طراحی شده‌اند.
ماهیت این ویروس پیچیده نبوده اما سازندگان آن با ساختار نرم افزارهای مالی ذکر شده آشنایی کامل داشته اند.
شرکتهایی که مورد حمله قرار گرفته اند چنانچه پیش از آن از اطلاعات خود Backup نگرفته اند دچار مشکل خواهند شد و بازیابی کامل اطلاعات بدون Backup تقریبا غیرممکن است.

نرخ آلودگی و خطر Narilam فعلا که پایین است، ولی طبیعی است شرکت‌هایی که اصول امنیتی را رعایت نکرده باشند و از آنتی ویروس های آپدیت شده استفاده ننمایند ممکن است دچار آسیب‌های سازمانی و از دست دادن داده‌های خود شوند و نداشتن نسخه پشتیبان درست از پایگاه داده می‌تواند سازمان آسیب دیده را تا زمان بازیافت داده‌های از دست رفته دچار برهم ریختگی کاری و یا پولی نماید.

این بد افزار توسط آنتی ویروس های آپدیت شده ESET کاملا قابل پیشگیری ، شناسائی و پاکسازی می باشد.

با تشكر
لابراتوآر ویروس شناسی شرکت کامیران
__________________________________________