Spør eksperten

Har du spørsmål om bedriften informasjonssikkerhet trusler for ekspert Nick Lewis? Send dem via e-post i dag! (Alle spørsmål er anonyme.)

W32.Narilam malware inneholder funksjonalitet som gjør det mulig å oppdatere eller slette MS-SQL databaser. Narilam sprer kopier av seg selv til det lokale systemet og nettverksstasjoner for å få det til å automatisk kjøre når noen logger inn i systemet. For å starte å infisere et nettverk, må det enten være inkludert i annen skadelig programvare eller noen må manuelt infisere et system. Risikoen fra denne malware er lav, og skaden er først og fremst i tid brukt rydde opp en infisert system. Den inneholder ikke funksjonalitet for å fange opp data fra det lokale systemet eller fra potensielle databaser. Det bare retter seg også tre svært spesifikke databasenavn (Alim, maliran og Shahd), og oddsen for å ha en database med målrettede navn er ganske lav. Hvis en organisasjon har en database dette malware angrep, kan data gå tapt fra siste backup avhengig av hvordan databasen og logger er bygd for. Dette kan potensielt være timer til dager med data, om ikke mer.

Sammen med standard bedrifter sikkerhets beste praksis inkludert database backup, databaser kan beskyttes fra Narilam ved å ikke tillate slette privilegier og begrensende oppdateringer for ikke-privilegerte brukere . Til hjelp i utvinningen, bør organisasjonene ha en kontinuitet eller backup plan som dekker en database brudd. Dette kan redusere effekten av denne malware hvis en database er skadet og må gjenopprettes fra backup og transaksjonslogger. Også programmer kan bli bygd for å begrense databasen tillatelser, bare tillater minimale oppdateringer eller data innsetting etter behov.