خبر انتشار بدافزار Narilam  چندی ست نقل محافل خبری مختلف ایران و جهان شده است. بدنبال انتشار این خبر و به سبب بالا بودن شدت انتشار این بدافزار در ایران، بسیاری از رسانه ها آنرا یک حمله سایبری جدید بر ضد ایران دانستند.

به گفته مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای  “بر خلاف اخبار منتشر شده این بدافزار در سال ۸۹ (۲۰۱۰) توسط مراکز و شرکتهای فعال در حوزه امنیت فناوری اطلاعات کشور شناسایی و گزارش شده است… بر خلاف اخبار منتشر شده [این بدافزار] تهدید جدی سایبری نبوده بلکه یک بدافزار محلی است که احتمالا به منظور آسیب زدن به کاربران محصولات نرم افزاری شرکت خاص ایجاد شده است.”

طبق بررسی های انجام شده فایل اصلی این بدافزار lssas.exe نام دارد (که از نام مجاز lsass.exe برگرفته شده است) و خود را در شاخه System32 کپی می کند. همچنین فایلی با نام DATA.exe ایجاد و آنرا در حافظه های USB متصل شده به دستگاه کپی می کند. این بدافزار با ایجاد کلید زیر در محضرخانه (Registry) سبب می شود با هر بار راه اندازی سیستم، بصورت خودکار اجرا شود:

·         HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunLssaShellEx: “%WINDIR%system32lssas.exe -reg “

بر اساس سربرگ (header) فایلهای مرتبط با Narilam، این بدافزار با زبان برنامه نویسی Borland C++ Builder 6 تهیه شده است و اگر تاریخ ذکر شده در این سربرگ صحیح باشد، زمان ساخت آنها بین سالهای ۲۰۰۹ و ۲۰۱۰ می باشد.

بانک داده های نام برده شده در زیر درون  کدهای این بدافزار به چشم می خورد.

·         Maliran : نرم افزار جامع شرکتها و تعاونی های مصرف

·         Amin : نرم افزار بانکداری و حسابداری صندوقهای قرض الحسنه

·         Shahd : نرم افزار مالی برای فروشگاه ها

بدافزار Narilam بر روی کامپیوترهای قربانی به دنبال فایل های مرتبط با این سه نرم افزار جستجو می کند و در صورت نیافتن آنها، فعالیت خود را متوقف می سازد.

در کدهای بدافزار، نام جداولی مالی همچون BankCheck، A_sellers و buyername در کنار نامهای فارسی نظیر Pasandaz و Vamghest به چشم می خورند. وجود فرامین Drop و Delete در کدهای این بدافزار نشان می دهد جداولی چون Holiday_2 و داده های برخی جداول دیگر نظیر A_Sellers، Koll و Moein توسط این بدافزار حذف می شوند. تنها راه برگرداندن داده ها نیز استفاده از نسخه پشتیبان می باشد.

بدافزار Narilam هیچ نوع قابلیت سرقت داده ها را ندارد و به نظر می رسد تنها هدف آن،ت  تخریب اطلاعات و اختلال در عملکرد نرم افزارهای مالی فوق باشد.

ضدویروس McAfee این بدافزار را با نام Generic BackDoor.wc و ضدویروس Bitdefender اجزای مختلف این بدافزار را با نامهای Backdoor.Generic.441258، Rootkit.40184 و Trojan.Agent.ARDX بطور کامل شناسایی می کنند. به روز نگهداشتن ضدویروس، محدود کردن دسترسی به حافظه های USB و تهیه نسخه های پشتیبان توصیه همیشگی ما برای مقابله با این گونه بدافزارهاست.