نماد سایت اتاق خبر شبکه گستر

مروری بر بدافزار Narilam

مدتی است که خبر انتشار بدافزار Narilam نقل محافل خبری مختلف ایران و جهان شده است. خبر کشف این بدافزار نخستین بار در سایت شرکت ضدویروس Symantec در دوم آذر منتشر شد. بدنبال انتشار این خبر و به سبب بالا بودن شدت انتشار این بدافزار در ایران، بسیاری از رسانه ها آنرا یک حمله سایبری جدید بر ضد ایران دانستند.

در چهارم آذر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) با انتشار اطلاعیه ای اعلام کرد:

“بر خلاف اخبار منتشر شده این بدافزار در سال 89 (2010) توسط مراكز و شركتهای فعال در حوزه امنیت فناوری اطلاعات كشور شناسایی و گزارش شده است… بر خلاف اخبار منتشر شده [این بدافزار] تهدید جدی سایبری نبوده بلكه یك بدافزار محلی است كه احتمالا به منظور آسیب زدن به كاربران محصولات نرم افزاری شركت خاص ایجاد شده است. طراحی و پیاده سازی این بدافزار اثری از پیچیدگی های یك حمله سایبری یا حتی بدافزارهای قدرتمند گروه های خرابكار سایبری را ندارد و بیشتر شبیه یك بدافزار آماتوری است.”

بررسی های انجام شده نشان می دهد فایل اصلی این بدافزار lssas.exe نام دارد (که از نام مجاز lsass.exe برگرفته شده است) و خود را در شاخه System32 کپی می کند. همچنین فایلی با نام DATA.exe ایجاد و آنرا در حافظه های USB متصل شده به دستگاه کپی می کند. این بدافزار با ایجاد کلید زیر در محضرخانه (Registry) سبب می شود با هر بار راه اندازی سیستم، بصورت خودکار اجرا شود:

بر اساس سربرگ (header) فایلهای مرتبط با Narilam، این بدافزار با زبان برنامه نویسی Borland C++ Builder 6 تهیه شده است و اگر تاریخ ذکر شده در این سربرگ صحیح باشد، زمان ساخت آنها بین سالهای 2009 و 2010 می باشد.

در کدهای این بدافزار نام بانک داده های زیر به چشم می خورد.

بدافزار Narilam بر روی کامپیوترهای قربانی به دنبال فایل های مرتبط با این سه نرم افزار جستجو می کند و در صورت نیافتن آنها، فعالیت خود را متوقف می سازد.

این سه نرم افزار توسط شرکت طراح سیستم تهیه شده و عرضه می شوند. از زمان انتشار خبرهای مربوط به بدافزار Narilam، سایت طراح سیستم نیز با نمایش پیامهای هشدار از کاربران می خواهد با توجه به انتشار این بدافزار از اطلاعات مالی خود نسخه پشتیبان تهیه کنند.

در کدهای بدافزار، نام جداولی مالی همچون BankCheck، A_sellers و buyername در کنار نامهای فارسی نظیر Pasandaz و Vamghest به چشم می خورند. وجود فرامین Drop و Delete در کدهای این بدافزار نشان می دهد جداولی چون Holiday_2 و داده های برخی جداول دیگر نظیر A_Sellers، Koll و Moein توسط این بدافزار حذف می شوند. تنها راه برگرداندن داده ها نیز استفاده از نسخه پشتیبان می باشد.

بدافزار Narilam هیچ نوع قابلیت سرقت داده ها را ندارد و به نظر می رسد تنها هدف آن، تخریب اطلاعات و اختلال در عملکرد نرم افزارهای مالی فوق باشد.

توضیح آنکه ضدویروس McAfee این بدافزار را با نام Generic BackDoor.wc و ضدویروس Bitdefender اجزای مختلف این بدافزار را با نامهای Backdoor.Generic.441258، Rootkit.40184 و Trojan.Agent.ARDX بطور کامل شناسایی می کنند. به روز نگهداشتن ضدویروس، محدود کردن دسترسی به حافظه های USB و تهیه نسخه های پشتیبان توصیه همیشگی ما برای مقابله با این گونه بدافزارهاست.

خروج از نسخه موبایل