De computerworm die de databases van Iraanse boekhoudsoftware saboteert is bijna uitgestorven. Dat zegt Kaspersky Lab. Afgelopen week kwam Symantec met de waarschuwing voor de Narilam-worm, die databases van een bepaald programma zou manipuleren en saboteren. De worm heeft het vooral op SQL databases met de namen alim, maliran en shahd voorzien. In de databases worden gegevens zowel gewijzigd als verwijderd.

De meeste infecties bevinden zich in Iran, gevolgd door Afghanistan. Het Iraanse Computer Emergency Response Team (CERT) stelde dat Symantec voor een oude worm waarschuwde die al sinds 2010 bekend is. Daarnaast zou de malware het vooral hebben voorzien op één Iraans softwarebedrijf.

Infecties
Kaspersky bevestigt dat de worm in 2009 en 2010 ontwikkeld is en dus al enige tijd rondwaart. De eerste variant zou uit september 2009 stammen. Op dit moment zijn er nog nauwelijks infecties bekend. "Wat betekent dat de malware bijna is uitgestorven", zo laat het anti-virusbedrijf weten. De afgelopen maand werden er nog maar zes infecties waargenomen.

In totaal is de virusbestrijder met 80 incidenten bekend die in de afgelopen twee jaar plaatsvonden. De malware zou geen connecties met geavanceerde malware zoals Duqu, Stuxnet, Flame of Gauss hebben.

Dreiging
Inmiddels heeft ook het Iraanse softwarebedrijf dat de door de worm aangevallen boekhoudsoftware ontwikkelde een waarschuwing afgegeven. Het gaat om TarrahSystem, dat klanten adviseert om een back-up van de database te maken, in het geval systemen besmet raken.

"Gezien de timestamps en eerdere meldingen, is Narilam een vrij oude dreiging die waarschijnlijk eind 2009 en halverwege 2010 is verspreid, met als doel het beschadigen van databases van drie financiële applicaties van TarrahSystem, namelijk Maliran, Amin en Shahd. Er zijn verschillende varianten verschenen, die allemaal dezelfde functionaliteit en verspreidingsmethode gebruiken", zo concludeert Kaspersky.