Что в имени тебе моем?
30 июня 2016
Собственные имена присваивают не только людям, домашним животным, пароходам или городам, но и вредоносным программам, с очевидной целью отличать их друг от друга.
Каждый разработчик антивирусов использует собственную методику именования вирусов и троянцев. Например, в компании «Доктор Веб» принят следующий алгоритм именования:
[Класс вредоносной программы].[Наименование вредоносной программы].[Версия]
Так, в записи Trojan.Bolik.1 слово «Trojan» обозначает класс вредоносной программы, «Bolik» — ее собственное имя, а «1» — порядковый номер версии троянца.
Как определяется класс вредоносной программы?
Например, вредоносное ПО различается по типу операционных систем, в которых оно способно работать. Больше всего таких программ создано для Microsoft Windows. На втором месте по числу существующих угроз стоит Google Android. Но это отнюдь не означает, что не существует троянцев для других системных платформ: есть вредоносные программы для ОС Linux, для Apple OS X, для различных мобильных систем вроде Blackberry, просто их значительно меньше. Поэтому имена троянцев для Android в номенклатуре «Доктор Веб» начинаются с обозначения класса «Android», например, Android.BankBot.20, а названия вредоносных программ для ОС семейства Linux начинаются с «Linux»: например, Linux.Ellipsis.1. Иногда к именам Android-тронцев добавляется обозначение «origin» — это значит, что детектирование такой программы осуществляется с использованием технологии Origin Tracing.
Если с троянцами для Android и Linux все более или менее понятно, то в случае с Windows ситуация выглядит чуть иначе — для этой системы существует гораздо больше разновидностей опасных программ, отличающихся функциональными возможностями. Например, классические файловые вирусы обладают двумя характерными особенностями: они умеют размножаться без участия пользователя, то есть способны к саморепликации, и, кроме того, могут заражать другие программы. В компании «Доктор Веб» эту категорию вредоносных программ обозначают общим наименованием «Win32» или «Win64» — в зависимости от разрядности файлов, которые она может инфицировать. Соответственно, вредоносная программа с именем, скажем, Win32.Rmnet.16 — это файловый вирус.
В отличие от вирусов, черви не умеют заражать исполняемые файлы, зато прекрасно размножаются по сети или по электронной почте — например, рассылая себя в виде вложения в письма или создавая свои копии в сетевых папках. Такие программы специалисты «Доктор Веб» называют HLLW — High-Level Language Worm, то есть «червь, написанный на языке программирования высокого уровня», или HLLM (High Level Language MassMailing Worm) — «Червь массовой почтовой рассылки, написанный на языке программирования высокого уровня».
Trojan — самая распространенная категория вредоносных приложений: к ней относятся троянские программы (также называемые троянцами). Название этой категории восходит к знаменитой легенде про деревянного коня, которого ахейцы преподнесли в подарок жителям осажденной Трои: ночью из огромной деревянной статуи вылезли прятавшиеся внутри воины и открыли ворота спящего города врагу. Троянские программы действуют в точности так же: они проникают на компьютер под видом какого-нибудь безобидного приложения, например видеопроигрывателя или игры, и после запуска начинают свою вредоносную деятельность. Выловить такого вредителя очень непросто, особенно с учетом того, что многие троянские программы умеют «прятаться» в недрах операционной системы и даже хитроумно обманывать некоторые типы антивирусной защиты.
Еще одна категория вредоносных программ носит наименование BackDoor, что можно перевести с английского как «задняя дверь», или «черный ход». Это название в целом соответствует функциям таких вредоносных программ — они без ведома пользователя открывают кибепреступникам доступ к зараженному компьютеру. При помощи бэкдоров злоумышленники могут не только увидеть все личные файлы пользователя и скопировать их себе, но также полностью управлять инфицированной машиной: запускать на ней различные программы, отдать команду на полное удаление всей хранящейся на дисках информации, уничтожить операционную систему, похитить деньги с банковских счетов, оставить на компьютере какие-либо компрометирующие файлы.
Существуют и другие, не так часто встречающиеся обозначения, например, Adware — для программ, показывающих назойливую рекламу, JS — для вредоносных сценариев на языке JavaScript, и т. д.
Современные компьютерные угрозы обладают обычно очень широкими функциональными возможностями и нередко сочетают в себе признаки сразу нескольких классов вредоносных программ. Например, какой-то образец предназначен для организации удаленного управления инфицированным компьютером (признак бэкдора), но умеет самостоятельно распространяться, создавая собственные копии в сетевых папках (признак червя), и лишь при определенных обстоятельствах может заразить исполняемый файл (признак вируса). К какой категории отнести такую программу? В подобных случаях вступает в силу принцип поглощения классов в виде определенной иерархической последовательности, например, «Файловые вирусы -> Черви -> Бекдоры -> Троянцы». Этот принцип позволяет отделить второстепенные по уровню опасности признаки от первостепенных. В приведенном выше примере способность вредоносной программы организовывать несанкционированный доступ (бэкдор) менее опасна, чем умение распространяться по сети (червь), а это, в свою очередь, менее опасно, чем способность заражать исполняемые файлы (вирус). Поэтому такой образец будет, скорее всего, назван Win32.имя.версия или Win32.HLLW.имя.версия, то есть отнесен к категории файловых вирусов или файловых вирусов с признаками сетевого червя.
Конкретное наименование каждой вредоносной программы выбирают вирусные аналитики — как правило, на основе каких-либо символьных значений в коде вируса или троянца, либо других признаков. Так, например, получил свое романтичное имя файловый вирус Win32.HLLP.Karud — оно было навеяно характерной строкой в коде, особенно забавной, если прочитать ее задом-наперед. Другие троянцы обладают настолько «изящной» архитектурой и реализуют свой функционал в зараженной системе столь «тонко» и «изощренно», что это неизбежно отражается на их наименовании. Таковы, например, вредоносные программы семейства Win32.Silly. Порой «говорящее» наименование может «прилипнуть» к троянцу исходя из его поведения на зараженной машине — так, например, получил свое имя Trojan.Zapadlo.
Определенные свойства некоторых угроз также могут наложить отпечаток на их обозначение. В частности, один из попавших в вирлаб бэкдоров озадачил специалистов наличием блока зашифрованных данных, назначение которого показалось аналитикам неоднозначным. Троянца тщательно изучили, после чего ему было торжественно присвоено вполне заслуженное имя BackDoor.Mutny.
Другая вредоносная программа оказалась частично скопированной с широко известного руткита BackDoor.MaosBoot, однако «копировальный аппарат» у вирусописателей, по-видимому, оказался с дефектом: троянец вышел кривеньким и хромым на обе ноги, отчего и получил прозвище BackDoor.Nedoboot.
Однако одно из самых популярных и широко распространенных имен в вирусных базах Dr.Web назначает вредоносным приложениям специальная программа-робот, называемая Signature Generator, сокращенно — Siggen. Как зовут таких троянцев, догадаться нетрудно.
#троянец #вирус #названия
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Rider
16:56:25 2018-12-10
Денисенко Павел Андреевич
15:11:23 2018-07-26
Toma
15:51:36 2018-05-24
vasvet
03:19:32 2018-04-02
Беломойкин
13:42:13 2018-03-28
Я, конечно, опоздал с разгадкой на 2 года, но ответ, мне кажется, кроется в самой загадке. ;о)
= Однако одно из самых популярных и широко распространенных имен в вирусных базах Dr.Web назначает вредоносным приложениям специальная программа-робот, называемая Signature Generator, сокращенно — Siggen. Как зовут таких троянцев, догадаться нетрудно.
То-есть ответ, получается - Siggen. :о)
alex-diesel
12:56:11 2018-03-10
а другие называют по-другому, и что? какой так сказать пойнт? Непонятно...
ka_s
18:21:42 2017-07-15
eaglebuk
22:53:46 2017-02-11
Шалтай Александр Болтай
15:52:38 2017-01-27
Оно умрет, как шум печальный
Волны, плеснувшей в берег дальний,
Как звук ночной в лесу глухом.
Zserg
22:18:19 2016-11-17
Andromeda
15:37:05 2016-10-10
kyha4
12:07:09 2016-10-07
kama35
10:14:49 2016-09-01
2018
19:01:08 2016-07-29
bob123456
17:54:21 2016-07-05
bob123456
17:50:57 2016-07-05
Sasha50
02:30:32 2016-07-02
tigra
06:34:45 2016-07-01
Lia00
00:35:18 2016-07-01
НинаК
23:55:14 2016-06-30
В...а
23:23:26 2016-06-30
kva-kva
23:11:48 2016-06-30
Dvakota
22:26:09 2016-06-30
Геральт
22:25:00 2016-06-30
krasserr
22:08:17 2016-06-30
tosya
22:03:01 2016-06-30
anto-s
21:58:02 2016-06-30
Luger
21:57:30 2016-06-30
mk.insta
21:48:00 2016-06-30
Альфа
21:44:19 2016-06-30
Роза
21:38:35 2016-06-30
zsergey
20:04:21 2016-06-30
Неуёмный Обыватель
19:58:57 2016-06-30
--
На заре вирусоловства, помнится, названия вирусов, да и само их содержимое были гораздо веселее. Сейчас и у злоумышленников и у их противников гораздо более прагматичная работа со снижением доли романтизма
Sasha50
18:02:41 2016-06-30
Ivan
17:32:58 2016-06-30
Nice
16:17:45 2016-06-30
Диман
15:35:21 2016-06-30
ada
15:27:42 2016-06-30
Damir
14:38:52 2016-06-30
kvv
14:16:29 2016-06-30
Уж не из "области" ли: "нет абсолютно здоровых людей - есть плохо обследованные!?"))
:)
djabax
13:59:49 2016-06-30
PROgrammeur
13:29:33 2016-06-30
rabizzo
13:27:49 2016-06-30
Ovod
13:06:30 2016-06-30
samox
13:01:07 2016-06-30
m@ri
12:54:21 2016-06-30
sergeimoloko
11:48:52 2016-06-30
Zevs_46
11:41:06 2016-06-30
Nett
11:32:21 2016-06-30
dyadya_Sasha
11:25:17 2016-06-30