Narilam: un “nuevo” malware destructivo que se está usando en el Medio Oriente

Hace algunos días, nuestros colegas de Symantec publicaron el análisis de un programa destructivo que se encontró en el Medio Oriente. Parece que el malware, llamado “Narilam”, está diseñado para corromper bases de datos. La estructura de nombres de la base de datos indica que es probable que los objetivos estén en Irán.

Hemos identificado varios ejemplares relacionados con esta amenaza. Todos son ejecutables de Windows PE de alrededor de 1,5 MB, compilados con Borland C++ Builder. Si confiamos en los encabezados de las compilaciones, deducimos que se crearon entre 2009 y 2010, lo que significa que ha estado rondando desde hace tiempo.

El ejemplar más antiguo que se conoce está fechado el: “Thu Sep 03 19:21:05 2009” (Jueves, 03 de septiembre de 2009, 19:21:05).

Kaspersky Security Network indica que por ahora hay pocos informes sobre este malware, lo que significa que está casi extinto. El informe más antiguo de este malware es de agosto de 2010; en total se registraron alrededor de 80 incidentes durante los últimos dos años.

Los productos Kaspersky detectan muchas versiones de este troyano como Trojan.Win32.Scar.cvcw y Trojan.Win32.Scar.dlvc. También detectan algunas versiones más nuevas con su sistema heurístico como HEUR:Trojan.Win32.Generic.

Similitudes con Wiper, Stuxnet, Duqu y Flame

Algunos informes indican que el malware podría estar relacionado con una cadena de ataques que han estado afectando a Irán durante los últimos dos años; nuestros lectores ya deben saber de qué hablamos.

Analizamos el ejemplar y no encontramos ninguna conexión evidente con esos ataques. Duqu, Stuxnet, Flame y Gauss se compilaron con versiones de Microsoft Visual C, pero Narilam se construyó con Borland C++ Builder 6 (y no Delphi, como se dice en otros artículos), una herramienta de programación completamente diferente.

¿Cuál es su verdadera antigüedad?

Como siempre, las fechas de compilación pueden ser falsas, así que nos preguntamos si se podía encontrar alguna otra manera de comprobar si el malware había estado en la red desde hace tiempo. Encontramos una alerta del CERT de junio de 2010 que parece que está relacionada con este malware.

La alerta hace referencia a un programa malicioso de un tamaño un poco diferente, pero con la misma carga explosiva: “El malware cambia en las tablas de las bases de datos, sistemas integrados Amin, Maliran, Shahd”. El nombre alternativo de este programa es “Trojan.AKK”.

Además, ayer (domingo 25 de noviembre de 2012), el equipo Maher CERT de Irán publicó una alerta sobre el malware que decía que “se había detectado y registrado previamente, en 2010″.

Software atacado

Como menciona el informe de Symantec, el malware tiene como objetivo atacar bases de datos con nombres muy específicos: maliran, shahd y amin. Funciona eliminando los registros de varias tablas, llamadas “A_Sellers”, “Koll” y “Moein”:

¿Podrían estar vinculadas con una compañía o con algún programa que utiliza una empresa en particular?

Hace unas horas, la empresa iraní “TarrahSystem” publicó una alerta sobre “W32.Narilam”, diciendo que estaba atacando a algunos de sus programas:

Una traducción aproximada de la alerta recomienda a los usuarios que “preparen copias de seguridad” porque el nuevo malware (W32.Narilam) ataca a sus “programas financieros”.

Parece que tanto “maliran” como “amin” son productos de TarrahSystem:

• Maliran – Aplicaciones Financieras e Industriales Integradas
• Amin – Programas de Bancos y Préstamos
• Shahd (“Nectar”) – Programas Financieros / Comerciales Integrados

¿Podría ser que “Narilam” ataque a estos tres productos de TarrahSystem? Por desgracia, no tenemos estos tres programas para confirmarlo, pero es posible que así sea.

Resumen y conclusiones

Tomando en consideración las fechas de compilación y los informes previos, se puede llegar a la conclusión de que Narilam es una amenaza antigua que probablemente se lanzó entre finales de 2009 y mediados de 2010. Su propósito era corromper las bases de datos de tres aplicaciones financieras de TarrahSystem, llamadas Maliran, Amin y Shahd. Se crearon muchas variantes, pero todas tienen la misma funcionalidad y método de replicación.

Informes de Kaspersky Security Network indican que el malware se encontró principalmente en Irán (~60%) y Afganistán (~40%).

Hasta ahora no hemos encontrado ninguna conexión directa con otro malware destructivo reciente (como Shamoon o Wiper). A diferencia de Duqu y Flame, Narilam no parece tener ninguna función de ciberespionaje.

El malware está casi extinto: el mes pasado sólo encontramos seis instancias de esta amenaza.

Seguiremos al tanto de la situación y actualizaremos esta entrada con las novedades.