Антивирусные компании Symantec и «Лаборатория Касперского» осуществили анализ
новой вредоносной программы, обнаруженной на Ближнем Востоке. Судя по
функциональности, данную программу следует отнести к классу кибероружия,
нацеленного на диверсии в компьютерной инфраструктуре противника, по
примеру Stuxnet, Flame и прочих.
Червь W32.Narilam распространяется обычным способом: через флэшки и в
локальной сети, прописывается в реестре Windows и написан на Delphi,
как и многие другие вирусные программы в наши дни. Необычным является
его функциональность: он взаимодействует с базами данных Microsoft SQL
через OLEDB. На заражённых компьютерах осуществляется поиск баз данных с
тремя конкретными названиями: alim, maliran и shahd. Далее приведён
список объектов и названий таблиц, которые интересуют авторов
вредоносной программы:
- Hesabjari ("текущий аккаунт" на арабском/персидском)
- Holiday
- Holiday_1
- Holiday_2
- Asnad («финансовые обязательства» на арабском)
- A_sellers
- A_TranSanj
- R_DetailFactoreForosh ("forosh" означает «продажу» на персидском)
- person
- pasandaz («накопления» на персидском)
- BankCheck
- End_Hesab ("hesab" означает «аккаунт» на персидском)
- Kalabuy
- Kalasales
- REFcheck
- buyername
- Vamghest («взносы по кредитам» на персидском)
Червь заменяет некоторые значения в таблицах на случайные значения, а
также удаляет некоторые таблицы, в том числе со следующими названиями:
Вредоносная программа не предназначена для шпионажа, то есть в ней
нет функционала для копирования информации и отправки на удалённый
сервер. Судя по всему, она спроектирована конкретно на повреждение и
удаление баз данных. По оценке «Лаборатории Касперского», исходя из
заголовков исполняемых файлов, модули программы были скомпилированы в
2009-2010 годы.
W32.Narilam получил особенное распространение в Иране. Его следы также обнаружены в США и Великобритании.
| 
