مروری بر بدافزار Narilam

ویروس

مدتی است که خبر انتشار بدافزار Narilam نقل محافل خبری مختلف ایران و جهان شده است. خبر کشف این بدافزار نخستین بار در سایت شرکت ضدویروس Symantec در دوم آذر منتشر شد. بدنبال انتشار این خبر و به سبب بالا بودن شدت انتشار این بدافزار در ایران، بسیاری از رسانه ها آنرا یک حمله سایبری جدید بر ضد ایران دانستند.

مناطق انتشار

در چهارم آذر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) با انتشار اطلاعیه ای اعلام کرد:

“بر خلاف اخبار منتشر شده این بدافزار در سال ۸۹ (۲۰۱۰) توسط مراکز و شرکتهای فعال در حوزه امنیت فناوری اطلاعات کشور شناسایی و گزارش شده است… بر خلاف اخبار منتشر شده [این بدافزار] تهدید جدی سایبری نبوده بلکه یک بدافزار محلی است که احتمالا به منظور آسیب زدن به کاربران محصولات نرم افزاری شرکت خاص ایجاد شده است. طراحی و پیاده سازی این بدافزار اثری از پیچیدگی های یک حمله سایبری یا حتی بدافزارهای قدرتمند گروه های خرابکار سایبری را ندارد و بیشتر شبیه یک بدافزار آماتوری است.”

بررسی های انجام شده نشان می دهد فایل اصلی این بدافزار lssas.exe نام دارد (که از نام مجاز lsass.exe برگرفته شده است) و خود را در شاخه System32 کپی می کند. همچنین فایلی با نام DATA.exe ایجاد و آنرا در حافظه های USB متصل شده به دستگاه کپی می کند. این بدافزار با ایجاد کلید زیر در محضرخانه (Registry) سبب می شود با هر بار راه اندازی سیستم، بصورت خودکار اجرا شود:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunLssaShellEx: “%WINDIR%system32lssas.exe -reg “

بر اساس سربرگ (header) فایلهای مرتبط با Narilam، این بدافزار با زبان برنامه نویسی Borland C++ Builder 6 تهیه شده است و اگر تاریخ ذکر شده در این سربرگ صحیح باشد، زمان ساخت آنها بین سالهای ۲۰۰۹ و ۲۰۱۰ می باشد.

تاریخ فایل

در کدهای این بدافزار نام بانک داده های زیر به چشم می خورد.

  • Maliran : نرم افزار جامع شرکتها و تعاونی های مصرف
  • Amin : نرم افزار بانکداری و حسابداری صندوقهای قرض الحسنه
  • Shahd : نرم افزار مالی برای فروشگاه ها

بدافزار Narilam بر روی کامپیوترهای قربانی به دنبال فایل های مرتبط با این سه نرم افزار جستجو می کند و در صورت نیافتن آنها، فعالیت خود را متوقف می سازد.

جستجوی فایل

این سه نرم افزار توسط شرکت طراح سیستم تهیه شده و عرضه می شوند. از زمان انتشار خبرهای مربوط به بدافزار Narilam، سایت طراح سیستم نیز با نمایش پیامهای هشدار از کاربران می خواهد با توجه به انتشار این بدافزار از اطلاعات مالی خود نسخه پشتیبان تهیه کنند.

طراح سیستم

در کدهای بدافزار، نام جداولی مالی همچون BankCheck، A_sellers و buyername در کنار نامهای فارسی نظیر Pasandaz و Vamghest به چشم می خورند. وجود فرامین Drop و Delete در کدهای این بدافزار نشان می دهد جداولی چون Holiday_2 و داده های برخی جداول دیگر نظیر A_Sellers، Koll و Moein توسط این بدافزار حذف می شوند. تنها راه برگرداندن داده ها نیز استفاده از نسخه پشتیبان می باشد.

جستجوی بانک داده

بدافزار Narilam هیچ نوع قابلیت سرقت داده ها را ندارد و به نظر می رسد تنها هدف آن، تخریب اطلاعات و اختلال در عملکرد نرم افزارهای مالی فوق باشد.

توضیح آنکه ضدویروس McAfee این بدافزار را با نام Generic BackDoor.wc و ضدویروس Bitdefender اجزای مختلف این بدافزار را با نامهای Backdoor.Generic.441258، Rootkit.40184 و Trojan.Agent.ARDX بطور کامل شناسایی می کنند. به روز نگهداشتن ضدویروس، محدود کردن دسترسی به حافظه های USB و تهیه نسخه های پشتیبان توصیه همیشگی ما برای مقابله با این گونه بدافزارهاست.

About The Author

Related posts

Leave a Reply

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*