Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Narilam: "nowe", niszczycielskie, szkodliwe oprogramowanie wykorzystywane na Bliskim Wschodzie

Dodany 27 listopada 2012, 10:25 CET
Tagi:

Kilka dni temu nasi koledzy z firmy Symantec opublikowali analizę nowego, szkodliwego, destrukcyjnego programu wykrytego na Bliskim Wschodzie. Szkodnik ten, nazwany „Narilam”, wydaje się być zaprojektowany do niszczenia baz danych określonych aplikacji. Nazewnictwo struktury baz danych wskazuje, że cele tego szkodnika prawdopodobnie są zlokalizowane w Iranie.

Zidentyfikowaliśmy kilka próbek związanych z tym zagrożeniem. Wszystkie z nich to pliki wykonywalne Windows PE (rozmiar ok. 1,5 MB) skompilowane z użyciem C++ Builder firmy Borland. Jeśli ufać nagłówkom kompilacji, wygląda na to, że projekt został utworzony na przestrzeni 2009 – 2010 r., co oznacza, że zagrożenie jest „na wolności” już przez dłuższy czas:

Najstarsza znana próbka posiada znacznik czasowy „Thu Sep 03 19:21:05 2009” (czwartek, 3 września 2009 r., godz. 19:21:05).

Zgodnie z danymi z Kaspersky Security Network, w tej chwili istnieje niewiele doniesień o tym szkodliwym oprogramowaniu, co oznacza, że jest to prawdopodobnie szkodnik niemal wymarły. Najwcześniejszy raport pochodzi z sierpnia 2010 r.; w sumie podczas ostatnich dwóch lat zostało zarejestrowanych około 80 przypadków infekcji.

Kilka wersji tego trojana jest wykrywanych przez produkty Kaspersky Lab jako Trojan.Win32.Scar.cvcw i Trojan.Win32.Scar.dlvc. Niektóre nowsze wersje są wykrywane przez heurystykę produktów Kaspersky Lab jako HEUR:Trojan.Win32.Generic.


Podobieństwo do Wipera, Stuxneta, Duqu i Flame'a

Według niektórych raportów, wykryte szkodliwe oprogramowanie może być powiązane z łańcuchem ataków skierowanych na Iran, które miały miejsce w ciągu ostatnich dwóch lat, i których nasi czytelnicy są zapewne świadomi.

Przeanalizowaliśmy próbki i nie znaleźliśmy żadnego oczywistego związku Narilam z Wiperem, Stuxnetem, Duqu czy Flamem. Szkodniki Duqu, Stuxnet, Flame i Gauss wszystkie zostały skompilowane w Microsoft Visual C, podczas gdy Narilam utworzono za pomocą Borland C++ Builder 6 (nie było to Delphi, jak sugerują niektóre artykuły!), czyli zupełnie innego narzędzia programistycznego.


Ile to naprawdę ma lat?

Jak zwykle, znaczniki czasowe kompilacji mogły zostać sfałszowane, więc zastanawialiśmy się, czy możemy znaleźć inne dowody, świadczące o czasie przebywania tego szkodnika „na wolności”. Istotnie, byliśmy w stanie znaleźć ostrzeżenie CERT z czerwca 2010 r., które wydaje się odnosić do tego szkodliwego oprogramowania.

Ostrzeżenie odnosi się do szkodnika o nieco innym rozmiarze, ale takim samym ładunku: „Malware dokonuje zmian w tabelach bazy danych zintegrowanych systemów Amin, Maliran, Shahd”. Jego alternatywna nazwa to „Trojan.AKK”.

Poza tym, przedwczoraj (niedziela, 25 listopada 2012 r.) zespół irańskiego CERTu (Maher) opublikował ostrzeżenie na temat złośliwego oprogramowania, w którym jest mowa, że jest to zagrożenie „wykryte i zaraportowane jako aktywne w roku 2010”.


Oprogramowanie ukierunkowane

Jak wspomniano w raporcie firmy Symantec, szkodnik wydaje się kierować atak na bazy danych o bardzo szczególnych nazwach: „maliran”, „shahd” oraz „amin”. Działa poprzez usuwanie losowych rekordów z kilku tabel nazwanych „A_Sellers”, „Koll” oraz „Moein”:

Irańska firma o nazwie TarrahSystem wystosowała ostrzeżenie o zagrożeniu „W32.Narilam”, które jest skierowane na jej oprogramowanie:

Komunikat w dosłownym tłumaczeniu nakazuje użytkownikom „przygotowanie kopii bezpieczeństwa”, ponieważ powstało nowe oprogramowanie (W32.Narilam), które „atakuje programy finansowe”.

Zarówno „maliran”, jak i „amin” to produkty firmy TarrahSystem:


Maliran – Zintegrowane aplikacje finansowe i przemysłowe;
Amin – Programy kredytowe i pożyczkowe;
Shahd („Nectar”) – Zintegrowane oprogramowanie finansowe i komercyjne.

Czy jest tak, że szkodnik Narilam obrał sobie za cel te trzy produkty firmy TarrahSystem? Niestety, nie dysponujemy kopiami tych programów, aby to sprawdzić, ale jest to bardzo prawdopodobne.


Podsumowanie i wnioski

Biorąc pod uwagę znaczniki czasu kompilacji i wczesne raporty sygnalizujące pojawienie się zagrożenia, wygląda na to, że Narilam został prawdopodobnie wdrożony od końca 2009 r. do połowy 2010 r. Jego celem było uszkodzenie baz danych trzech aplikacji finansowych firmy TarrahSystem: Maliran, Amin i Shahd. Stworzono kilka wariantów szkodnika, ale wszystkie z nich mają takie same funkcje i wykorzystują identyczny sposób replikacji.

Raporty z Kaspersky Security Network wskazują, że występowanie omawianego szkodliwego oprogramowania stwierdzono głównie w Iranie (ok. 60%) i Afganistanie (ok. 40%).

W chwili obecnej nie widzimy bezpośredniego związku Narilam z innymi destrukcyjnymi szkodnikami (Shamoon / Wiper). W odróżnieniu od Duqu i Flame'a, Narilam nie posiada żadnych funkcji cyberszpiegowskich.

Szkodnik jest obecnie niemal wymarły – w ciągu ostatniego miesiąca zaobserwowaliśmy tylko sześć wystąpień tego zagrożenia.

Będziemy nadal monitorować sytuację i w miarę potrzeb zamieszczać nowe fakty dotyczące projektu Narilam.