به نقل از BBC به گزارش شرکت نورتون انتی ویروس :
http://www.symantec.com/connect/blogs/w32narilam-business-database-sabotagehttp://www.bbc.co.uk/persian/science/2012/11/121124_na_w32narilam_business_database_sabotage.shtmlبه تازگی بدافزار جدیدی کشف شده که ظاهراً به طور خاص سیستمهای رایانهای ایران را هدف قرار داده است.
شرکت سیمانتک، تولیدکننده نرمافزارهای ضدویروس نورتون در کلیک گزارشی، این کرم تازه را دبلیو ۳۲ ناریلام (W32.Narilam) نامگذاری کرده و میگوید این بدافزار، پایگاه دادههای Microsoft SQL را با جایگزین کردن تصادفی محتویات، تخریب و به این طریق در نرمافزارهای مالی و حسابداری خرابکاری میکند.
به گفته سیمانتک، ۹۷ درصد سامانههای آلوده به این کرم رایانهای، کامپیوترهای شرکتها و سازمانها بودهاند و کامپیوترهای شخصی میزان آلودگی به مراتب کمتری داشتهاند.طبق یافتههای شرکت سیمانتک، این بدافزار عمدتاً در خاورمیانه فعال است و میزان توزیع آن در ایران بسیار بالاتر از کشورهای دیگر منطقه است اما مواردی در بریتانیا و آمریکا هم گزارش شده است.
این بدافزار همچون کرمهای دیگر خود را روی دستگاهها کپی کرده و از راه حافظهها و درایوهای قابل حمل و شبکه گسترش پیدا میکند.
تا اینجا، این یک رفتار طبیعی چون بدافزارهای دیگر است اما هدف این کرم این بار ایجاد نوعی آشفتگی در پایگاه داده شرکتها و به طور مشخص سامانههای مالی آنها است.
این بدافزار پایگاه دادههای اسکیوال مایکروسافت را تغییر داده و بهروزرسانی میکند. هدف آن به طور مشخص پایگاه داده سه نرمافزار به نامهای علیم، مالیران و شهد است.
برنامههای شهد و مالیران ظاهرا از تولیدات شرکت طراح سیستم هستند. نرمافزار جامع مالیران برای شرکتها و تعاونیهای مصرف و نرمافزار یکپارچه شهد برای شرکتهای بازرگانی و فروشگاهها طراحی شدهاند.
ناریلام هیچ علاقهای به سرقت اطلاعات از سیستمهای آلوده ندارد و به نظر میرسد به طور خاص برای صدمه زدن به اطلاعات در پایگاه داده برنامهریزی شده است.
با توجه به رد پاهایی که از اسامی اشیاء و جدولهایی که در این کرم به دست آمده است، هدف آن آسیبرسانی به بخشهای مربوط به سفارش، حسابداری، و موارد مرتبط با مشتریان شرکتها است.
این کرم مقادیر رکوردهای پایگاه دادهها را به طور تصادفی جابهجا میکند و سازمان آسیبدیده احتمالاً به اختلالی قابل توجه در سامانه مالی و حسابرسی و حتی از دست دادن اطلاعات مالی دچار میشود.
هدف این کرم، دزدی اطلاعات مالی نیست، بلکه تخریب آنهاست و با توجه به بررسیها، هدف اصلی، بخشهای مربوط به سفارشها، حسابداری و سامانههای مدیریت مشتریان شرکتها است.
پژوهشهای انجامگرفته توسط شرکت سیمانتک نشان میدهد که بیش از ۹۷ درصد قربانیان این کرم کاربران مرتبط با بخشهای تجاری هستند.
به جز شرکتهایی که نسخههای پشتیبان مناسبی را پیش از این از سامانههای خود تهیه کردهاند، بازگرداندن اطلاعات از دست رفته بسیار مشکل خواهد بود.به عنوان تروجانی که هدفش آسیبرسانی به پایگاهدادهها بدون تهیه یک کپی از مقادیر آن است، عملیات بازیابی اطلاعات راهی بسیار طولانی و صعب به حساب میآید.در سالهای اخیر میزان بدافزارهایی که به طور خاص ایران را مورد هدف قرار دادهاند، رو به فزونی گذاشته است.
این حملات در ابتدا در قالب ویروسهایی نظیر استاکس نت، دوکو و فلیم، تأسیسات هستهای ایران را مورد حمله قرار دادند اما اکنون گسترهای وسیعتر یافته و متوجه تأسیسات نفتی و بانکی و دیگر نهادهای ایران نظیر وزارت علوم، تحقیقات و فناوری ایران و سامانه مخابراتی و وب سایت وزارت نفت ایران شدهاند.
برخی از کارشناسان معتقدند طراحی چنین بدافزارهایی نیاز به نیروی انسانی و پشتیبانی مالی زیادی دارد که تأمین آن تنها از سوی دولتها میسر است.کرم ناریلام جداول و اشیائی در پایگاه داده نرمافزارها را هدف میگیرد که نامی مشخص و بعضاً فارسی دارند. این موضوع نشان میدهد که طراح یا طراحان به طور دقیق به نحوه کارکرد این نرمافزارها آشنایی داشته و بر چگونگی کار آن مسلط بودهاند.
مقامات جمهوری اسلامی در موضعگیری علیه حملات سایبری تا کنون از یک سو بر موفقیت در فائق آمدن بر حملات سخن گفتهاند و از طرف دیگر گاه اذعان کردهاند که ایران در این حوزه به اندازه کافی آماده نبوده است.تاکنون واکنشی از سوی شرکتهای تولیدکننده نرمافزارهای مالی، شرکتهای تجاری، قربانیان احتمالی یا مقامات مسؤول در قبال آلودگی توسط بدافزار ناریلام گزارش نشده است.