Le 15 novembre dernier, Symantec indiquait avoir découvert un malware appelé W32.Narilam et le classait à faible risque. Mais dans un article écrit par Shunichi Imano, spécialiste sécurité chez l'éditeur, il constate que ce ver touche majoritairement l'Iran et de manière plus marginale les États-Unis et l'Europe.

Fait intéressant, les actions de Narilam ont certaines similitudes avec Stuxnet, un autre malware visant l'Iran et plus particulièrement les capacités d'enrichissement d'uranium. Il se diffuse à travers les disques amovibles et le partage de fichiers en réseau, précise le spécialiste. Une fois sur la machine, il recherche des bases de données SQL de Microsoft. Après, il recherche des mots clés dans ces bases de données, dont certains sont en persan, la langue principale en Iran. Il peut modifier certaines données par des valeurs aléatoires et supprimer des champs.

Du pur sabotage

Parmi les mots ciblés, l'analyste recense : « hesabjarin», ce qui signifie compte courant; « pasandaz » qui sont des économies, et « asnad», pour des actions financières. « Le malware n'a pas de fonctionnalité pour voler des informations sur le système infecté et semble être programmé spécifiquement pour endommager les données contenues dans la base de donnée ciblée », ajoute Shunichi Imano. En fonction des éléments ci-dessous, les attaques seraient liées à des commandes, de la comptabilité ou des systèmes de gestion de la clientèle d'entreprises. L'analyste constate que les entreprises concernées risquent de souffrir d'importantes perturbations et même des pertes financières lors de la restauration de la base de données. Il prédit un sacré casse-tête pour celles qui n'auront pas réalisé de sauvegarde des données originales.

Il reste maintenant à savoir si Narilam est à ranger dans la même catégorie que Stuxnet, Duqu ou Flame, c'est-à-dire des outils créés probablement par des Etats dans le cadre d'une cyberguerre.