Вы используете устаревший браузер!

Страница может отображаться некорректно.

Кухня

Кухня

Другие выпуски этой рубрики (48)
  • добавить в избранное
    Добавить в закладки

Что в имени тебе моем?

Прочитали: 18390 Комментариев: 75 Рейтинг: 304

30 июня 2016

Собственные имена присваивают не только людям, домашним животным, пароходам или городам, но и вредоносным программам, с очевидной целью отличать их друг от друга.

Каждый разработчик антивирусов использует собственную методику именования вирусов и троянцев. Например, в компании «Доктор Веб» принят следующий алгоритм именования:

[Класс вредоносной программы].[Наименование вредоносной программы].[Версия]

Так, в записи Trojan.Bolik.1 слово «Trojan» обозначает класс вредоносной программы, «Bolik» — ее собственное имя, а «1» — порядковый номер версии троянца.

Как определяется класс вредоносной программы?

Например, вредоносное ПО различается по типу операционных систем, в которых оно способно работать. Больше всего таких программ создано для Microsoft Windows. На втором месте по числу существующих угроз стоит Google Android. Но это отнюдь не означает, что не существует троянцев для других системных платформ: есть вредоносные программы для ОС Linux, для Apple OS X, для различных мобильных систем вроде Blackberry, просто их значительно меньше. Поэтому имена троянцев для Android в номенклатуре «Доктор Веб» начинаются с обозначения класса «Android», например, Android.BankBot.20, а названия вредоносных программ для ОС семейства Linux начинаются с «Linux»: например, Linux.Ellipsis.1. Иногда к именам Android-тронцев добавляется обозначение «origin» — это значит, что детектирование такой программы осуществляется с использованием технологии Origin Tracing.

Если с троянцами для Android и Linux все более или менее понятно, то в случае с Windows ситуация выглядит чуть иначе — для этой системы существует гораздо больше разновидностей опасных программ, отличающихся функциональными возможностями. Например, классические файловые вирусы обладают двумя характерными особенностями: они умеют размножаться без участия пользователя, то есть способны к саморепликации, и, кроме того, могут заражать другие программы. В компании «Доктор Веб» эту категорию вредоносных программ обозначают общим наименованием «Win32» или «Win64» — в зависимости от разрядности файлов, которые она может инфицировать. Соответственно, вредоносная программа с именем, скажем, Win32.Rmnet.16 — это файловый вирус.

В отличие от вирусов, черви не умеют заражать исполняемые файлы, зато прекрасно размножаются по сети или по электронной почте — например, рассылая себя в виде вложения в письма или создавая свои копии в сетевых папках. Такие программы специалисты «Доктор Веб» называют HLLW — High-Level Language Worm, то есть «червь, написанный на языке программирования высокого уровня», или HLLM (High Level Language MassMailing Worm) — «Червь массовой почтовой рассылки, написанный на языке программирования высокого уровня».

Trojan — самая распространенная категория вредоносных приложений: к ней относятся троянские программы (также называемые троянцами). Название этой категории восходит к знаменитой легенде про деревянного коня, которого ахейцы преподнесли в подарок жителям осажденной Трои: ночью из огромной деревянной статуи вылезли прятавшиеся внутри воины и открыли ворота спящего города врагу. Троянские программы действуют в точности так же: они проникают на компьютер под видом какого-нибудь безобидного приложения, например видеопроигрывателя или игры, и после запуска начинают свою вредоносную деятельность. Выловить такого вредителя очень непросто, особенно с учетом того, что многие троянские программы умеют «прятаться» в недрах операционной системы и даже хитроумно обманывать некоторые типы антивирусной защиты.

Еще одна категория вредоносных программ носит наименование BackDoor, что можно перевести с английского как «задняя дверь», или «черный ход». Это название в целом соответствует функциям таких вредоносных программ — они без ведома пользователя открывают кибепреступникам доступ к зараженному компьютеру. При помощи бэкдоров злоумышленники могут не только увидеть все личные файлы пользователя и скопировать их себе, но также полностью управлять инфицированной машиной: запускать на ней различные программы, отдать команду на полное удаление всей хранящейся на дисках информации, уничтожить операционную систему, похитить деньги с банковских счетов, оставить на компьютере какие-либо компрометирующие файлы.

Существуют и другие, не так часто встречающиеся обозначения, например, Adware — для программ, показывающих назойливую рекламу, JS — для вредоносных сценариев на языке JavaScript, и т. д.

Современные компьютерные угрозы обладают обычно очень широкими функциональными возможностями и нередко сочетают в себе признаки сразу нескольких классов вредоносных программ. Например, какой-то образец предназначен для организации удаленного управления инфицированным компьютером (признак бэкдора), но умеет самостоятельно распространяться, создавая собственные копии в сетевых папках (признак червя), и лишь при определенных обстоятельствах может заразить исполняемый файл (признак вируса). К какой категории отнести такую программу? В подобных случаях вступает в силу принцип поглощения классов в виде определенной иерархической последовательности, например, «Файловые вирусы -> Черви -> Бекдоры -> Троянцы». Этот принцип позволяет отделить второстепенные по уровню опасности признаки от первостепенных. В приведенном выше примере способность вредоносной программы организовывать несанкционированный доступ (бэкдор) менее опасна, чем умение распространяться по сети (червь), а это, в свою очередь, менее опасно, чем способность заражать исполняемые файлы (вирус). Поэтому такой образец будет, скорее всего, назван Win32.имя.версия или Win32.HLLW.имя.версия, то есть отнесен к категории файловых вирусов или файловых вирусов с признаками сетевого червя.

Конкретное наименование каждой вредоносной программы выбирают вирусные аналитики — как правило, на основе каких-либо символьных значений в коде вируса или троянца, либо других признаков. Так, например, получил свое романтичное имя файловый вирус Win32.HLLP.Karud — оно было навеяно характерной строкой в коде, особенно забавной, если прочитать ее задом-наперед. Другие троянцы обладают настолько «изящной» архитектурой и реализуют свой функционал в зараженной системе столь «тонко» и «изощренно», что это неизбежно отражается на их наименовании. Таковы, например, вредоносные программы семейства Win32.Silly. Порой «говорящее» наименование может «прилипнуть» к троянцу исходя из его поведения на зараженной машине — так, например, получил свое имя Trojan.Zapadlo.

Определенные свойства некоторых угроз также могут наложить отпечаток на их обозначение. В частности, один из попавших в вирлаб бэкдоров озадачил специалистов наличием блока зашифрованных данных, назначение которого показалось аналитикам неоднозначным. Троянца тщательно изучили, после чего ему было торжественно присвоено вполне заслуженное имя BackDoor.Mutny.

Другая вредоносная программа оказалась частично скопированной с широко известного руткита BackDoor.MaosBoot, однако «копировальный аппарат» у вирусописателей, по-видимому, оказался с дефектом: троянец вышел кривеньким и хромым на обе ноги, отчего и получил прозвище BackDoor.Nedoboot.

Однако одно из самых популярных и широко распространенных имен в вирусных базах Dr.Web назначает вредоносным приложениям специальная программа-робот, называемая Signature Generator, сокращенно — Siggen. Как зовут таких троянцев, догадаться нетрудно.

#троянец #вирус #названия

Антивирусная правДА! рекомендует

 

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии

 
На страницу: