ここ数年、標的を選んでビジネス活動を妨害する非常に高度なマルウェアが確認されています。たとえば、産業オートメーションシステムの改ざんを目的とした W32.Stuxnet などのマルウェアや、ハードディスクからデータやファイルを消去してしまう W32.Disstrack や W32.Flamer などの破壊的なマルウェアがあります。このような脅威に襲われると、ビジネス活動が中断してしまう可能性があります。
このような脅威に続き、シマンテックでは最近、別の方法で大混乱を引き起こす恐ろしい脅威を発見しました。今度は、企業のデータベースを狙ってデータを改ざんしようとするものです。シマンテックは、この脅威を W32.Narilam として検出します。
確認された検出数から、主に中東地域が W32.Narilam の被害に遭っています。
図 1. W32.Narilam の分布図
過去に確認された他の多くのワームと同様、この脅威も、感染したコンピュータに自身のコピーを作り、レジストリキーを追加し、リムーバブルドライブやネットワーク共有を介して拡散します。さらに、この脅威は、Delphi を使って記述されています。Delphi は、他の多くのマルウェア脅威の作成にも使われている言語です。ここまで聞くと月並みなように思えますが、この脅威が普通でない点は、OLEDB によるアクセスが可能な Microsoft SQL データベースを更新する機能を持っていることです。このワームが特に標的にしている SQL データベースの名前は、alim、maliran、shahd の 3 種類です。
アクセスされる可能性のあるオブジェクト名やテーブル名には、以下のようなものがあります。
- Hesabjari(アラビア語/ペルシャ語で「当座預金口座」の意味)
- Holiday
- Holiday_1
- Holiday_2
- Asnad(アラビア語で「金融債券」の意味)
- A_sellers
- A_TranSanj
- R_DetailFactoreForosh(「forosh」はペルシャ語で「販売」の意味)
- person
- pasandaz(ペルシャ語で「預金」の意味)
- BankCheck
- End_Hesab(「hesab」はペルシャ語で「口座」の意味)
- Kalabuy
- Kalasales
- REFcheck
- buyername
- Vamghest(ペルシャ語で「分割ローン」の意味)
この脅威に襲われると、データベース内の特定の項目がランダムな値に置き換えられてしまいます。改ざんされる項目には、以下のようなものがあります。
- Asnad.SanadNo(「sanad」はペルシャ語で「文書」の意味)
- Asnad.LastNo
- Asnad.FirstNo
- A_TranSanj.Tranid
- Pasandaz.Code(「pasandaz」はペルシャ語で「預金」の意味)
- n_dar_par.price
- bankcheck.state
- End_Hesab.Az
- Kalabuy.Serial
- sath.lengths
- Kalasales.Serial
- refcheck.amount
- buyername.Buyername
また、以下の名前を持つテーブルなどが削除される場合もあります。
- A_Sellers
- person
- Kalamast
以下に、この脅威のコード内で指定された一時プロシージャの一部を示します。
図 2. 一時プロシージャの抜粋を示すコード部分
たとえば 12 ~ 14 行目では、@SanadNo 変数が、ゼロから Koll.Koll レコードの最大値の間で無作為に選んだ値に設定されます。その後、Koll テーブル内で、このランダム値と同じ Koll.Koll 値を持つレコードが削除されます。
このマルウェアには、感染したシステムから情報を盗む機能はありません。もっぱら、狙ったデータベース内にあるデータの破壊を目的としてプログラミングされているようです。検索されるオブジェクトのタイプから考えると、企業に属する注文/会計/顧客管理システムに関連するデータベースが標的になっているようです。
インフィールドの遠隔測定の結果によると、この脅威により攻撃を受けたユーザーの大多数は企業ユーザーでした。この事実は、この脅威に組み込まれた機能とも一致しています。この脅威が探しているデータベースのタイプは、ホームユーザーのシステムではあまり見つからないようです。
図 3. Narilam 感染のユーザータイプ別の内訳
適切にバックアップが取られていない限り、感染したデータベースを復元するのは難しいでしょう。被害に遭った企業は大変な混乱に陥り、さらにはデータベースが復元されるまで経済的な損失を被る可能性もあります。このマルウェアは感染したデータベースの破壊を目的としており、最初に元のデータベースのコピーを取らないため、この脅威に襲われたデータベースを元どおりに回復するには相当な時間がかかるでしょう。
シマンテックが提供する最新の定義ファイルを適用することで W32.Narilam からは保護されますが、重要なデータベースは定期的にバックアップすることを強くお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。