Nieuwe 'Stuxnet' saboteert SQL databases

Er is nieuwe malware opgedoken die vooral blijkt te richten op Iran. Maar in plaats van uraniumcentrifuges onklaar maken saboteert 'Narilam' bepaalde Microsoft SQL databases.


Er waart een nieuwe, bizarre malware door het Midden-Oosten en dan vooral Iran, die zich heel specifiek richt op bedrijfsdatabases en die saboteert door het wissen van velden en soms hele kolommen. Dat rapporteert Symantec.

Databases gemanipuleerd

De worm, Narilam gedoopt, verspreidt zich via usb-sticks en netwerk shares en zoekt gericht naar SQL databases die toegankelijk zijn via Microsoft's OLEDB API. Het gros van de infecties vindt plaats in Iran, en dan logischerwijs vooral bij bedrijfssystemen.

De worm lijkt zich te richten op boekhouddatabases en manipuleert hiervan de data in verschillende velden. Soms worden hele kolommen gewist, maar de malware kan geen data exfiltreren. Als getroffen bedrijven geen goede backup hebben van hun bestanden, kan de malware bedrijfsprocessen flink in de wielen rijden, met alle schade van dien, waarschuwt Symantec.

Stuxnet, Duqu, Flame

De supermalware Stuxnet richtte zich ook op Iran, maar was nog veel specifieker. Het infecteerde weliswaar duizenden pc's, maar de echte payload werd pas geactiveerd bij detectie van industriŽle controlesystemen van centrifuges die worden gebruikt om uranium te verrijken.

Daarna volgden de ontdekking van nieuwe supergeavanceerde malware zoals Duqu en Flame. Narilam lijkt daar niet aan te kunnen tippen qua complexiteit.