Symantecwarns of malware targeting SQL databases
By JeremyKirk, IDG News Service
Nov 23, 2012 7:50 AM
Theo:http://www.pcworld.com/article/2016288/symantec-warns-of-malware-targeting-sql-databases.html
Bài được đưa lênInternet ngày: 23/11/2012
Lờingười dịch: Lại một sâu có khả năng có họ hàng vớiStuxnet, đương nhiên và mặc định dành cho nền tảngWindows nữa đã được Symantec phát hiện, và lầnnày thì còn nguy hiểm hơn vì nó không nhằm vào việcăn cắp tiền hay dữ liệu, mà nhằm vào việc phá hoạicác cơ sở dữ liệu trong hệ quản trị cơ sở dữ liệuMicrosoft SQL Server. Vài trích đoạn từ bài viết: “Thúvị là, Narilam chia sẻ một vài sự tương tự vớiStuxnet ... Một khi nằm trong một máy, nó tìm kiếmcác cơ sở dữ liệu Microsoft SQL. Nó sau đó săn lùngcác từ đặc thù trong cơ sở dữ liệu SQL... Phần mềmđộc hại này không có bất kỳ chức năng nào để ăncắp thông tin từ hệ thống bị lây nhiễm và dườngnhư được lập trình chuyên để gây hại cho các dữliệu nằm bên trong cơ sở dữ liệu bị nhắm đích...Biết rằng các dạng đối tượng mà mối đe dọa nàytìm kiếm, nhằm vào các cơ sở dữ liệu dường nhưcó liên quan tới các hệ thống đặt hàng, kế toán hoặcquản lý khách hàng thuộc về các tập đoàn”. Nhưvậy là sau khi có phần mềm độc hại Gauss, có họhàng với Stuxnet, Duqu, Flame - những thứ đương nhiên vàmặc định cho Windows chuyên để lấy thông tin về cácgiao dịch ngân hàng, thì nay lại tới Narilam, nhằm vàoMicrosoft SQL Server. Xem thêm: Kasperskytìm kiếm trợ giúp để phá trojan Gauss.
Symantecs đã tóm đượcmột mẩu phần mềm độc hại kỳ cục khác dường nhưnhằm vào Iran và được thiết kết để chọc vào các cơsở dữ liệu SQL.
Hãng này đã pháthiện ra phần mềm độc hại, gọi là W32.Narilam, hôm15/11 nhưng vào thứ sáu đã đưa ra ghi chép chi tiết hơntừ Shunichi Imano. Narilam có liên quan tới một “rủi rothấp” của hãng, nhưng theo một bản đồm đa số cáclây nhiễm được tập trung ở Iran, với một ít tạiAnh, nội địa Mỹ và bang Alaska.
Thúvị là, Narilam chia sẻ một vài sự tương tự vớiStuxnet, phần mềm độc hại đã nhằm vào Iran từng làmđứt đoạn các khả năng tinh chế uranium của nó bằngviệc can thiệp vào phần mềm công nghiệp chạy các máyli tâm của nó. Giống như Stuxnet, Narilam cũng là một sâu,lan truyền qua các ổ tháo lắp được và mạng chia sẻtệp, Imano viết.
Mộtkhi nằm trong một máy, nó tìm kiếm các cơ sở dữ liệuMicrosoft SQL. Nó sau đó săn lùng các từ đặc thù trong cơsở dữ liệu SQL - một số trong đó là vùng Vịnh(Persian), ngôn ngữ chính thức của Iran - và thay thế cáckhoản trong cơ sở dữ liệu bằng các giá trị ngẫunhiên hoặc xóa các trường nhất định.
Một số từ bao gồm"hesabjari", có nghĩa là tài khoản hiện hành;"pasandaz," có nghĩa là tiết kiệm, và "asnad,"có nghĩa là khế ước (bond) tài chính, Imano viết.
“Phầnmềm độc hại này không có bất kỳ chức năng nào đểăn cắp thông tin từ hệ thống bị lây nhiễm và dườngnhư được lập trình chuyên để gây hại cho các dữliệu nằm bên trong cơ sở dữ liệu bị nhắm đích”,Imano viết. “Biết rằng các dạng đối tượng mà mốiđe dọa này tìm kiếm, nhằm vào các cơ sở dữ liệudường như có liên quan tới các hệ thống đặt hàng, kếtoán hoặc quản lý khách hàng thuộc về các tập đoàn”.
Các khách hàngkhông bị nhắm đích
Các dạng cơ sở dữliệu được Narilam tìm kiếm có khả năng không đượcnhững người sử dụng ở nhà sử dụng. Nhưng Narilam cóthể là sự đau đầu cho các công ty mà sử dụng các cơsở dữ liệu SQL nhưng không có sao lưu.
“Tổ chức bị lâynhiễm sẽ có khả năng phải chịu sự phá hoại đáng kểvà thậm chí mất mát tài chính khi khôi phục lại cơ sởdữ liệu”, Imano viết. “Khi phần mềm độc hại nàyđược nhằm vào việc phá hoại cơ sở dữ liệu bị lâynhiễm và không làm một bản sao cơ sở dữ liệu gốctrước hết, thì những gì bị lây nhiễm vì mối đe dọanày sẽ có một con đường dài để phục hồi ở phíatrước đối với họ”.
Stuxnetđược tin tưởng rộng rãi từng được Mỹ và Israel tạora với ý định làm chậm đi chương trình hạt nhân củaIran. Từ khi nó bị phát hiện vào tháng 06/2010, các nhànghiên cứu đã liên kết nó tới các phần mềm độc hạikhác, bao gồm Duqu và Flame, chỉ ra một chiến dịch giánđiệp và phá hoại lâu dài đã nhắc nhở về mối quanngại đối với các xung đột không gian mạng đang leothang giữa các quốc gia.
Symantechas spotted another odd piece of malware that appears to be targetingIran and is designed to meddle with SQL databases.
Thecompany discovered the malware, called W32.Narilam, onNovember 15 but on Friday published a more detailedwriteup by Shunichi Imano. Narilam is rated as a "low risk"by the company, but according to a map, the majority of infectionsare concentrated in Iran, with a few in the U.K., the continentalU.S., and the state of Alaska.
Interestingly,Narilam shares some similarities with Stuxnet,the malware targeted at Iran that disrupted its uranium refinementcapabilities by interfering with industrial software that ran itscentrifuges. Like Stuxnet, Narilam is also a worm, spreading throughremovable drives and network file shares, Imano wrote.
Onceon a machine, it looks for Microsoft SQL databases. It then hunts forspecific words in the SQL database—some of which are in Persian,Iran's main language—and replaces items in the database with randomvalues or de-letes certain fields.
Someof the words include "hesabjari," which means currentaccount; "pasandaz," which means savings; and "asnad,"which means financial bond, Imano wrote.
"Themalware does not have any functionality to steal information f-rom theinfected system and appears to be programmed specifically to damagethe data held within the targeted database," Imano wrote. "Giventhe types of objects that the threat searches for, the targeteddatabases seem to be related to ordering, accounting, or customermanagement systems belonging to corporations."
Consumersnot targeted
Thetypes of databases sought by Narilam are unlikely to be employed byhome users. But Narilam could be a headache for companies that useSQL databases but do not keep backups.
"Theaffected organization will likely suffer significant disruption andeven financial loss while restoring the database," Imano wrote."As the malware is aimed at sabotaging the affected database anddoes not make a copy of the original database first, those affectedby this threat will have a long road to recovery ahead of them."
Stuxnetis widely believed to have been cre-atedby the U.S. and Israel with the intent of slowing down Iran'snuclear program. Since its discovery in June 2010, researchers havelinked it to other malware including Duqu and Flame, indicating along-running espionage and sabotage campaign that has promptedconcern over escalating cyberconflict between nations.
Dịch: Lê Trung Nghĩa
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn
Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...