Wurm manipuliert Datenbanken im Iran
Wie Stuxnet und seine Artverwandten zielt auch der neu katalogisierte Wurm Narilam auf Angriffspunkte im Iran. Der Wurm ist auf SQL-Datenbanken spezialisiert.
(Bild: Symantec )
Das Sicherheitsunternehmen Symantec hat einen spezialisierten Wurm namens W32.Narilam entdeckt, der SQL-Datenbanken kompromittieren kann. Wie Symantec schreibt, "spricht" die Schadsoftware Persisch und Arabisch und scheint sich vor allem gegen Unternehmen im Iran zu richten. Damit erinnert Narilam an Stuxnet und seine Artverwandten.
Narilam verbreitet sich über USB-Sticks und Netzwerkfreigaben. Im System sucht der Wurm dann nach SQL-Datenbanken, die über die Programmierschnittstelle Object Linking and Embedding Database (OLEDB) ansprechbar sind. Wird der Wurm fündig, stiehlt er keine Daten zu Spionagezwecken, sondern verändert oder löscht sie und kann damit nach Ansicht Symantecs erheblichen Schaden anrichten. Auch Stuxnet diente nicht der Spionage, sondern sollte sein Angriffsziel – eine Urananreicherungsanlage im iranischen Natanz – sabotieren.
(Bild: Symantec )
Das Ziel von Narilam oder wer den Wurm geschrieben hat, ist noch unbekannt. Wie die Analyse von Symantec allerdings nahe legt, scheint der Saboteur es besonders auf ökonomisch relevante Datensätze abzusehen. Die übersetzten Befehle des Wurms handeln zum Beispiel von "Verkauf", "Finanzanleihen" und "Girokonto". Das Risiko von der Schadsoftware betroffen zu sein, schätzt Symantec aufgrund der Spezialisierung als gering ein. Darauf weist auch die bisherige Analyse hin, dass rund 97 Prozent der Opfer "Business User" sind.
Geschrieben wurde der Wurm teilweise in der Sprache Delphi. Der Name des Wurms leitet das Sicherheitsunternehmen von den Eigenschaften der Schadsoftware ab. Der Wurm sucht nach SQL-Datenbanken mit drei bestimmten Namen: alim, shahd und maliran. (kbe)
