Stuxnet-achtige worm uit op SQL-databases

De worm kopieert zichzelf op een geïnfecteerde machine en verspreidt zich via verwijderbare harde schijven en gedeelde documenten op netwerken. Het is geschreven in Delphi. Bijzonder aan w32.Narilam is dat de worm de functionaliteit heeft om SQL-databases te updaten, als deze toegankelijk is via OLEDB (Object Linking and Embedding, Database). De worm gaat op zoek naar SQL-databases met de namen alim, maliran en shahd.

Enige functie van worm lijkt beschadigen van database

Wanneer de worm een database heeft gevonden, gaat hij op zoek naar specifieke woorden in de databank. Een aantal van deze woorden zijn in het Perzisch, de taal van Iran. De velden krijgen een andere waarde of worden door de worm gewist. De malware heeft geen functionaliteit om informatie te stelen, stelt Symantec. Het doel van de worm lijkt te zijn de informatie in de databases te corrumperen.

Specifieke object/table-namen als Hesabjari, Holiday, Asnad, BankCheck en person geven de worm toegang. Ook kan de worm onderdelen in een databank vervangen door willekeurige waarden, of velden helemaal wissen. Volgens Symantec lopen consumenten geen gevaar, omdat de worm typisch zakelijke databases tot doelwit heeft. Bedrijven die geen back-ups van SQL-databases hebben gemaakt, zijn gewaarschuwd.