Антивирусные компании Symantec и «Лаборатория Касперского» осуществили анализ новой вредоносной программы, обнаруженной на Ближнем Востоке. Судя по функциональности, данную программу следует отнести к классу кибероружия, нацеленного на диверсии в компьютерной инфраструктуре противника, по примеру Stuxnet, Flame и прочих.
Червь W32.Narilam распространяется обычным способом: через флэшки и в локальной сети, прописывается в реестре Windows и написан на Delphi, как и многие другие вирусные программы в наши дни. Необычным является его функциональность: он взаимодействует с базами данных Microsoft SQL через OLEDB. На заражённых компьютерах осуществляется поиск баз данных с тремя конкретными названиями: alim, maliran и shahd. Далее приведён список объектов и названий таблиц, которые интересуют авторов вредоносной программы:
- Hesabjari ("текущий аккаунт" на арабском/персидском)
- Holiday
- Holiday_1
- Holiday_2
- Asnad («финансовые обязательства» на арабском)
- A_sellers
- A_TranSanj
- R_DetailFactoreForosh ("forosh" означает «продажу» на персидском)
- person
- pasandaz («накопления» на персидском)
- BankCheck
- End_Hesab ("hesab" означает «аккаунт» на персидском)
- Kalabuy
- Kalasales
- REFcheck
- buyername
- Vamghest («взносы по кредитам» на персидском)
Червь заменяет некоторые значения в таблицах на случайные значения, а также удаляет некоторые таблицы, в том числе со следующими названиями:
- A_Sellers
- person
- Kalamast
Вредоносная программа не предназначена для шпионажа, то есть в ней нет функционала для копирования информации и отправки на удалённый сервер. Судя по всему, она спроектирована конкретно на повреждение и удаление баз данных. По оценке «Лаборатории Касперского», исходя из заголовков исполняемых файлов, модули программы были скомпилированы в 2009-2010 годы.
W32.Narilam получил особенное распространение в Иране. Его следы также обнаружены в США и Великобритании.
