Odkryty wirus o nazwie W32.Narilam infekuje komputery w poszukiwaniu baz danych SQL, w których dokonuje zmiany. Poszukuje on baz danych o specyficznych nazwach - alim, shahd oraz maliran. Wektorem infekcji są nośniki USB i współdzielone zasoby sieciowe. Do przełamania zabezpieczeń wykorzystuje on kilka różnych podatności. Po zainfekowaniu komputera poszukuje baz danych dostępnych za pomocą OLEDB (Object Linking and Embedding Database), a następnie łączy się do nich.

W odróżnieniu od wirusów przeznaczonych dla celów szpiegostwa przemysłowego, Narilam ma na celu modyfikację lub zniszczenie danych. Według firmy Symantec, analiza wskazuje, że celem ataku są firmowe dane w wybranych aplikacjach, w konkretnym kraju. Wewnątrz kodu wirusa są instrukcje odwołujące się do obiektów o nazwach, takich jak: "sprzedaż", "bieżące konto", "należności", "środki trwałe" w języku perskim i arabskim, na przykład hesabjari czy pasandaz.

Szkody wywołane przez taki atak mogą być znaczne, zwłaszcza że głównym celem są podmioty komercyjne, a zakres zmian początkowo jest niewielki. Wirus nie wykonuje przy tym żadnej kopii bezpieczeństwa, a zatem jedyną radą jest odtworzenie bazy z backupu. Zmiany będzie można prześledzić i ewentualnie poprawić, jeśli firma korzysta z oprogramowania rejestrującego i odtwarzającego dane transakcja po transakcji, takiego jak CA ARCserve RHA (dawniej CA XOsoft Enterprise Rewinder).

Pewna część kodu wirusa została napisana w języku Delphi, a obszar ataku ogranicza się głównie do Iranu. Ryzyko uszkodzenia bazy danych w innych krajach jest bardzo niskie, gdyż wirus szuka baz i tabel o konkretnej nazwie.