23.11.2012 16:20
Wurm manipuliert Datenbanken im Iran
Vor allem Rechner im Iran sind infiziert. Großbritannien und die USA sind wenig betroffen.
Bild: Symantec
Das Sicherheitsunternehmen Symantec hat einen spezialisierten Wurm namens W32.Narilam entdeckt, der SQL-Datenbanken kompromittieren kann. Wie Symantec schreibt, "spricht" die Schadsoftware Persisch und Arabisch und scheint sich vor allem gegen Unternehmen im Iran zu richten. Damit erinnert Narilam an Stuxnet und seine Artverwandten.
Narilam verbreitet sich über USB-Sticks und Netzwerkfreigaben. Im System sucht der Wurm dann nach SQL-Datenbanken, die über die Programmierschnittstelle Object Linking and Embedding Database (OLEDB) ansprechbar sind. Wird der Wurm fündig, stiehlt er keine Daten zu Spionagezwecken, sondern verändert oder löscht sie und kann damit nach Ansicht Symantecs erheblichen Schaden anrichten. Auch Stuxnet diente nicht der Spionage, sondern sollte sein Angriffsziel – eine Urananreicherungsanlage im iranischen Natanz – sabotieren.
Nahezu ausschließlich "Business Users" sind von Narilam betroffen.
Bild: Symantec
Das Ziel von Narilam oder wer den Wurm geschrieben hat, ist noch unbekannt. Wie die Analyse von Symantec allerdings nahe legt, scheint der Saboteur es besonders auf ökonomisch relevante Datensätze abzusehen. Die übersetzten Befehle des Wurms handeln zum Beispiel von "Verkauf", "Finanzanleihen" und "Girokonto". Das Risiko von der Schadsoftware betroffen zu sein, schätzt Symantec aufgrund der Spezialisierung als gering ein. Darauf weist auch die bisherige Analyse hin, dass rund 97 Prozent der Opfer "Business User" sind.
Geschrieben wurde der Wurm teilweise in der Sprache Delphi. Der Name des Wurms leitet das Sicherheitsunternehmen von den Eigenschaften der Schadsoftware ab. Der Wurm sucht nach SQL-Datenbanken mit drei bestimmten Namen: alim, shahd und maliran.
(kbe)
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
