Espace adhérent

Narilam : un malware visant l'Iran et les bases de données SQL PDF Print E-mail
User Rating: / 0
PoorBest 
Written by Jacques Cheminat avec IDG NS   
Monday, 26 November 2012 08:24

Edition du 23/11/2012

Code de Narilam découvert par Symantec Crédit Photo:D.R

Code de Narilam découvert par Symantec Crédit Photo:D.R

Symantec a constaté des éléments étranges au sein d'un malware qui semblait viser particulièrement l'Iran. Il est conçu pour saboter les bases de données SQL.

 

Le 15 novembre dernier, Symantec indiquait avoir découvert un malware appelé W32.Narilam et le classait à faible risque. Mais dans un article écrit par Shunichi Imano, spécialiste sécurité chez l'éditeur, il constate que ce ver touche majoritairement l'Iran et de manière plus marginale les États-Unis et l'Europe.

Fait intéressant, les actions de Narilam ont certaines similitudes avec Stuxnet, un autre malware visant l'Iran et plus particulièrement les capacités d'enrichissement d'uranium. Il se diffuse à travers les disques amovibles et le partage de fichiers en réseau, précise le spécialiste. Une fois sur la machine, il recherche des bases de données SQL de Microsoft. Après, il recherche des mots clés dans ces bases de données, dont certains sont en persan, la langue principale en Iran. Il peut modifier certaines données par des valeurs aléatoires et supprimer des champs.

Du pur sabotage

Parmi les mots ciblés, l'analyste recense : « hesabjarin», ce qui signifie compte courant; « pasandaz » qui sont des économies, et « asnad», pour des actions financières. « Le malware n'a pas de fonctionnalité pour voler des informations sur le système infecté et semble être programmé spécifiquement pour endommager les données contenues dans la base de donnée ciblée », ajoute Shunichi Imano. En fonction des éléments ci-dessous, les attaques seraient liées à des commandes, de la comptabilité ou des systèmes de gestion de la clientèle d'entreprises. L'analyste constate que les entreprises concernées risquent de souffrir d'importantes perturbations et même des pertes financières lors de la restauration de la base de données. Il prédit un sacré casse-tête pour celles qui n'auront pas réalisé de sauvegarde des données originales.

Il reste maintenant à savoir si Narilam est à ranger dans la même catégorie que Stuxnet, Duqu ou Flame, c'est-à-dire des outils créés probablement par des Etats dans le cadre d'une cyberguerre.

Article de This e-mail address is being protected from spambots. You need JavaScript enabled to view it
Last Updated on Monday, 26 November 2012 14:49
 

Promotion 1963

MLFcham Promotion 1963

Giverny - Mai 2004

MLFcham Giverny - Mai 2004

Athènes - Oct 08

MLFcham - Athènes - Octobre 2008

Promotion 1962

MLFcham Promotion 1962