Publicado:
Leitura 4 minutos
Ataques de aniquilação de dados não têm tipicamente um prazo longo de validade: eles se apoiam no elemento surpresa para realizar o maior dano possível antes de serem descobertos e eliminados. Mas algumas vezes eles desenvolvem uma longa cauda e continuam a se espalhar, como o malware Narilam, analisado recentemente.
Curta, no Facebook, a Fan Page do IT Web
Os funcionários da Computer Emergency Response Team (Cert), do Irã, disseram que o vírus tem pelo menos dois anos de vida e que foi construído para sabotar bases de dados em específicos softwares financeiros do país.
A Symantec, que na semana passada revelou que achou amostras do chamado malware de autorreplicação Narilam, disse que ele ainda está se espalhando entre os computadores do Oriente Médio e que está na área há pelo menos três anos: “é curioso porque não vemos muitas ameaças destrutivas desse tipo por muito tempo. Ainda é possível achar novas infecções”, explicou Vikram Thakur, gerente principal de resposta de segurança da empresa.
Uma fonte disse que, apesar das especulações iniciais de que o malware estaria relacionado ou seria similar a ataques promovidos por nações, como o Stuxnet e Flame, o Narilam é apenas um peça de código que, talvez, tenha sido escrita por um funcionário insatisfeito da empresa de software de contabilidade iraniana TarrahSystem, ou por um de seus competidores, com a intenção de sabotá-los.
De acordo com o comunicado postado pelo Cert, do Irã, em seu site, realmente não há relação com o Stuxnet: “o malware chamado ‘narilam’ pela Symantec é um malware antigo, já detectado e noticiado em 2010 com outros nomes. Ele não tem sinais de ser uma grande ameaça nem uma peça sofisticada de malware de computação. A amostra não foi amplamente distribuída e só conseguiu corromper base de dados de alguns dos produtos da empresa de software iraniana, esses produtos eram softwares financeiros para pequenas empresas. A natureza simples dele parece mais como uma tentativa para prejudicar a reputação da empresa entre seus consumidores”.
Pesquisadores da Kaspersky Lab também refutaram, nesta semana, a sugestão inicial de que o malware estivesse de alguma forma relacionado com o Stuxnet e o Flame, que foi de forma não oficial atribuído ao governo dos Estados Unidos e Israel, como uma forma de minar os esforços nucleares do Irã. “O Narilam é uma ameaça antiga que foi provavelmente desenvolvida entre o final de 2009 e meio de 2010. Inúmeras variantes parecem ter sido criadas, mas toas elas têm a mesma funcionalidade e método de replicação”, explicaram os pesquisadores da companhia.
Os analistas disseram que 60% das infecções ocorreram no Irã, e 40% no Afeganistão. Diferentemente da avaliação da Symantec de que o malware ainda está se espalhando, a Kaspersky afirmou que o Narilam está morrendo. “O malware está quase extinto – durante o último mês observamos apenas seis ocorrências dessa ameaça”. A Kaspersky viu cerca de 80 incidentes da infecção nos últimos dois anos.
Apesar de o Narilam não ser um Stuxnet, ainda assim é destrutivo. Ele basicamente substitui os itens da base de dados com valores randomizado ou deleta todas as tabelas. É um vírus que se replica na máquina infectada e se espalha por meio de dispositivos removíveis e compartilhamentos de rede. Algumas centenas de usuários do Oriente Médio foram atingidos, explicou Thakur, da Symantec.
“As empresas afetadas provavelmente sofrerão um rompimento significativo e até mesmo perdas financeiras enquanto restauram a base de dados. Já que o malware tem como objetivo sabotar as informações, e não fazer uma cópia antes”, escreveu a Symantec na semana passada.
Especialistas de segurança concordam que o malware é direcionado à destruição e não à ciberespionagem. “Não acreditamos que isso tenha a mesma procedência do Stuxnet, Flame e Duqu. Não é tão sofisticado”, finalizou Thakur, dizendo que não há conexão com a ciberespionagem que possa ser feita com o malware.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
Redação
11 horas atrás
Redação
14 horas atrás
Redação
15 horas atrás
Redação
15 horas atrás
Login
