La empresa de seguridad informática y de programas como Norton Ghost, Symantec, ha detectado recientemente un nuevo tipo de malware el cual está diseñado específicamente para atacar y corromper las bases de datos SQL. El nuevo atacante procede de Oriente Medio y fue descubierto el 15 de Noviembre de este mismo mes, pero hasta el Viernes pasado la empresa de seguridad citada no ofreció información al respecto. El malware descubierto ha sido bautizado con el nombre de W32. Narilam y de momento se conoce que tiene varias similitudes con otro malware que intentó sabotear centrales nucleares y puso en jaque al software industrial encargado de las centrifugadoras de uranio en Irán llamado Stuxnet. Conoce más detalles a continuación.
El malware descubierto por la empresa que desarrolla programas de seguridad, Symantec, una vez que se instala en un ordenador busca bases de datos Microsoft SQL al igual que el también descubierto malware, Stuxnet, para más tarde buscar en palabras específicas en las bases de datos y después las sustituye añadiendo valores aleatorios y también borrando ciertos campos. La amenaza de malware, ha sido detectada en su mayor parte en Irán, aunque también se han detectado algunos casos en Reino Unido, Estados Unidos y Alaska. La empresa de seguridad comenta que el malware tiene un riesgo bajo y no ataca robando información de los sistemas o equipos infectados, ya que el malware sólo ha sido concebido para dañas las bases de datos del equipo afectado. Lo que en mayor parte busca tal amenaza de malware es bases de datos en relación a pedidos y todo lo relacionado con la contabilidad o sistemas de gestión de clientes de grandes empresas y corporaciones. El malware ataca también las bases de datos SQL con tres nombres distintos: Alim, Maliran y Shad.
A continuación una captura de la imagen que nos muestra Symantec en su web principal para explicar cómo actúa el malware:
Como se puede observar en la imagen, en las líneas 12 a 14 (destacadas en rojo) el malware establece una variable @Sanadko asignando un valor que se elige aleatoriamente entre cero y el valor máximo entre los registros Koll.Koll.
De esta forma, el malware elimina un registro en la tabla Koll.Koll que es el mismo que el valor aleatorio para robar los datos sustituyendo valores por los que añade.
También es importante destacar, que los usuarios domésticos que utilizan el ordenador para un uso personal no tienen porqué preocuparse de ésta amenaza, ya que el malware está diseñado para atacar sólo a usuarios corporativos y de empresas, siendo bastante improbable que el malware ataque a un usuario doméstico como dice Symantec en su web.
En la siguiente imagen también podemos ver un gráfico, mostrando que los usuarios de negocios y empresas son los principales afectados:
Symantec, también comenta a los usuarios que han sido atacados por el malware, que a menos que se hagan copias de seguridad periódicamente, las bases de datos son muy difíciles de restaurar de nuevo. También dice, que es muy probable que los afectados sufran una interrupción de su trabajo e incluso una pérdida financiera mientras tratan de restaurar todas sus bases de datos dañadas.
Vía: Symantec.com, itespresso