Narilan Sabotagevirus

Narilam:

Ein im Nahen Osten verwendetes 'neues' zerstörerisches

 

 Malware

An Großem an November26, 2012. 3:59 Abend
Vorfälle
·          
·          Zwitschern
Duqu leuchten Gauss Microsoft Fenster, die Stuxnet richtete, greift an
·          Großer
·          Das globale Forschungs- & Analyseteam der Kaspersky Laboratorien
·          @e_kaspersky/Großer
Vor mehreren Tagen gaben unsere Kollegen von Symantec eine Analyse eines neuen zerstörerischen Malwares heraus, wovon im Nahen Osten berichtet ist. Genannt Narilam, scheint das Malware dafür entworfen zu werden, Datenbanken zu korrumpieren. Die benennende Datenbankstruktur zeigt an, dass Ziele wahrscheinlich im Iran sind.
Wir haben mehrere mit dieser Drohung verbundene Proben identifiziert. Sie alle sind ~ 1,5 MB Fenster mit Borland C++ Builder zusammengestelltes PE executables. Wenn wir den Kompilationsköpfen vertrauen sollen, scheinen sie in 2009-2010 geschaffen worden zu sein, welches bedeutet, dass es für eine Weile in der Wildnis sein können hätte :

 


Die zuerst bekannte Probe hat eine Zeitangabe vom Do, dem sept 03 19:21:05 2009.
Entsprechend Kaspersky Sicherheit vernetzen, es gibt im Moment sehr wenige Berichte über dieses Malware welches bedeutet sein wahrscheinlich fast ausgestorben. Der frühste Bericht über das Malware ist ab August 2010; in totalen etwa 80 Vorfällen seien Sie in letzten zwei Jahren aufgezeichnet worden.
Mehrere Versionen dieses Trojaners werden von Kaspersky Produkten als Trojan.Win32.Scar.cvcw und Trojan.Win32.Scar.dlvc wahrgenommen. Einige neuere Versionen des malwares werden heuristisch von Kaspersky Produkten als HEUR : Trojan.Win32.Generic wahrgenommen.
Ähnlichkeiten mit Wischer, Stuxnet, Duqu oder Flamme
Nach einigen Berichten konnte das Malware mit einer Kette von Angriffen, die den Iran in den letzten zwei Jahren gerichtet haben, und von denen unsere Leser wahrscheinlich wissen, verwandt sein.
Weve analysierte die Probe und fand keine offensichtliche Verbindung mit diesen. Duqu, Stuxnet leuchtet, und Gauss sind alle zusammengestellt worden mit Versionen des Microsoft Bildelements, womit C, Weile Narilam gebaut wurde, Borland C++ Bauunternehmer 6 (und nicht Delphi, so andere Artikel scheinen vorzuschlagen) ein völlig anderes Programmierwerkzeug.
Wie alt ist es wirklich?
So üblich, Kompilationszeitangaben können vorgetäuscht werden, so dass wir uns fragten, ob wir finden konnten, dass anderer Beweis dieses Malwares für eine Weile ItW ist. Wir waren wirklich in der Lage, einen todsicheren Alarmmeldung Juni 2010 zu finden, der sich auf dieses Malware zu beziehen scheint.


Der Alarm verweist auf ein Malware mit leicht anderer Größe, aber derselben Nutzlast: Die Malware Änderungen in den Verknüpfungstabellen, integrierte Systeme Amin, Maliran, Shahd. Ein Alternativname dafür ist Trojan.AKK.
Zusätzlich zu diesem, gestern (Sonntag Nov 25., 2012) das todsichere iranischen Maher Sachteam gab einen Alarm über das malware heraus, in denen sie sagen, dass es war, ' zuvor nahm wahr und berichtete online im Jahr 2010 '.
Gerichtete Software
Wie in Symantecen Bericht erwähnt, scheint das Malware Datenbanken mit einigen sehr bestimmten Namen zu richten: maliran, shahd und amin. Es funktioniert durch zufällig Löschen von Datensätzen von mehreren Tabellen mit dem Namen A_Sellers, Koll oder Moein:
Konnten diese auf eine gewisse Gesellschaft oder Software, die von den gerichteten Gesellschaften benutzt wird, beschränkt sein?
Früher benannte heute, eine iranische Gesellschaft TarrahSystem, platziert aus einem Alarm über W32.Narilam, der etwas von ihrer Software richtete:
Eine grobe Übersetzung des Alarms empfiehlt Benutzern, wegen neuer Malware (W32.Narilam) abzielender Finanzsoftware Unterstützungen vorzubereiten.

Sowohl maliran als auch amin scheinen Produkte von TarrahSystem zu sein:


Maliran integrierte finanzielle und industrielle Anwendungenbr
Amin Bankwesen und Darlehen Software

Shahd (Nektar) integrierte finanzielle/kommerzielle Software
Konnte es sein, dass Narilam diese 3 Produkte von TarrahSystem richtet? Leider haben wir diese drei Programme zu überprüfen nicht, aber sein ziemlich wahrscheinlich.
Zusammenfassung und Schlüsse
In Anbetracht Zusammenstellung Zeitstempel und ersten Berichten ist Narilam eine ziemlich alte Bedrohung, die war
wahrscheinlich während Ende 2009 und Mitte 2010 im Einsatz. Sein Zweck war, Datenbanken von drei finanziellen Bewerbungen von TarrahSystem, nämlich Maliran, Amin und Shahd zu korrumpieren. Mehrere Varianten scheinen geschaffen worden zu sein, aber sie alle haben dieselbe Funktionalität und Methode für Nachbildung.
Berichte aus Kaspersky Sicherheitsnetz zeigen, dass das Malware hauptsächlich in dem Iran (~ 60%) und Afghanistan (~ 40%) gefunden wurde.
Im Moment sehen wir keine Querverbindung mit anderem neuem zerstörerischem Malware (wie Shamoon oder Wischer). Im Gegensatz zu Duqu oder Flamme gibt es keine scheinbare Funktion cyberespionage.
Die Malware ist im letzten Monat gegenwärtig fast ausgestorben, wir haben nur sechs Fälle dieser Drohung beobachtet.
Wir fahren fort, die Situation zu überwachen und diesen Pfosten nach Bedarf zu aktualisieren.


https://securelist.com/blog/incidents/34692/narilam-a-new-destructive-malware-used-in-the-middle-east-34/