Narilam

 

Keyfacts

  • entdeckt: Nov. 2012
  • sicher aktiv: compilation header 2009, earliest report of the malware is from August 2010
  • letzte Aktualisierung: Nov. 2012
  • Infektion und Replikation: Infection via USB, Ausbreitung über Netzwrek-Ordner
  • Hauptziel: Sabotage/Löschen von SQL Datenbanken mit speziellen Namen (siehe Beschreibung)
  • Verbreitung: größtenteils auf Rechner von Business-Organisationen im Iran und Afghanistan
  • vermutliche Herkunft:  unbekannt, persische Bezeichner im Code

Relevante Dokumente

heat_map_20121120
 
Narilam ist wie Shamoon eine Malware deren primäres Ziel die Sabotage war, in diesem Fall das Löschen von Daten. Narilam hat auf infizierten Systemen nach speziellen Datenbanken gesucht, deren Namen auf Finanz & Industrieanwendungen („Maliran“), Bank- und Lohnbuchhaltungssysteme („Amin“) oder integrierte Finanz/Kommerz/Customer-Management-Systeme („Shad“) schließen lassen. Beim Fund solcher Datenbanken wurde spezielle, anhand von Schlagwörtern wie „Verkauf“, „Finanzanleihen“ und „Girokonto“ gesuchte Einträge und Bereiche durch das Überschreiben mit zufällig generierten Zahlen zerstört. Neben diesem Schadcode vergügte Narilam über keinerlei Funktionalität zum Datendiebstahl. Einer Analyse von Symantec zufolge wurde viele persische und arabische Bezeichner im Programmcode gefunden. Entgegen anders gearteter Medienberichte kommen Analysen (siehe verlinkte Dokumente) zu dem Schluss, dass Narilam trotz des ähnliches „Einsatzgebietes“ keine Ähnlichkeit  zu Duqu, Stuxnet und Co. aufweisen.