Anhang C. Benennung von Bedrohungen

Bei der Erkennung eines schädlichen Codes wird der Benutzer von den Komponenten von Dr.Web entsprechend informiert. Dabei wird der Name des Schadprogramms protokolliert, den die Virenanalytiker von Doctor Web diesem Programm vergeben haben. Diese Namen werden nach bestimmten Regeln zusammengestellt und weisen auf die Konstruktion des Virus, Klassen der infizierbaren Objekte, Verbreitungsumgebung (Betriebssysteme und Programmpakete) und andere Besonderheiten hin. Diese Informationen können hilfreich sein, um Schwachstellen und Sicherheitslücken im geschützten System und in der Software umgehend zu lokalisieren und zu beseitigen. Unten finden Sie eine kurze Beschreibung der Konventionen, die zur Benennung von Viren verwendet werden. Die aktuellsten und detaillierten Informationen dazu sind immer im Internet über https://vms.drweb.com/classification/ abrufbar.

Es handelt sich dabei um eine rein formale Klassifikation, da einige Viren mehrere Eigenschaften besitzen können. Außerdem kann sie nicht alle Bedrohungen umfassen, da das Spektrum an Schadprogrammen sehr umfangreich ist.

Der vollständige Name des Virus besteht aus mehreren durch Punkte getrennte Elemente. Einige am Angang (Präfixe) und am Ende (Suffixe) stehenden Elemente deuten auf den Typ der Bedrohung entsprechend der verwendeten Klassifikation hin.

Allgemeine Präfixe

Präfixe für Betriebssysteme

Die unten aufgelisteten Präfixe werden verwendet, um Viren zu benennen, die ausführbare Dateien bestimmter Betriebssysteme infizieren:

•Win – 16-Bit-Programme unter Windows 3.1;

•Win95 – 32-Bit-Programme unter Windows 95, Windows 98, Windows Me;

•WinNT – 32-Bit-Programme unter Windows NT, Windows 2000, Windows XP, Windows Vista;

•Win32 – 32-Bit-Programme unter Windows 95, Windows 98, Windows Me und Windows NT, Windows 2000, Windows XP, Windows Vista;

•Win32.NET – Programme unter Microsoft .NET Framework;

•OS2 – Programme unter OS/2;

•Unix – Programme unter UNIX-basierten Betriebssystemen;

•Linux – Programme unter Linux;

•FreeBSD – Programme unter FreeBSD;

•SunOS – Programme unter SunOS (Solaris);

•Symbian – Programme unter Symbian OS (mobiles Betriebssystem).

Bitte beachten Sie Folgendes: Einige Viren sind in der Lage, Programme verschiedener Betriebssysteme zu infizieren.

Viren, die Dateien von MS Office infizieren

Präfixe von Viren, die Objekte von MS Office infizieren (angegeben ist die Sprache der Makros, die der jeweilige Virus infiziert):

•WM – Word Basic (MS Word 6.0-7.0);

•XM – VBA3 (MS Excel 5.0-7.0);

•W97M – VBA5 (MS Word 8.0), VBA6 (MS Word 9.0);

•X97M – VBA5 (MS Excel 8.0), VBA6 (MS Excel 9.0);

•A97M – Datenbanken von MS Access‘97/2000;

•PP97M – Präsentationsdateien von MS PowerPoint;

•O97M – VBA5 (MS Office'97), VBA6 (MS Office'2000), Virus infiziert Dateien mehrerer Komponenten von MS Office.

Präfixe für Programmiersprachen

Die Präfixgruppe HLL wird verwendet, um Viren zu benennen, die in einer höheren Programmiersprache, beispielsweise in C, C++, Pascal, Basic usw., geschrieben sind. Die Modifizierer stehen für den Funktionsalgorithmus:

•HLLW – Würmer;

•HLLM – E-Mail-Würmer;

•HLLO – Viren, die den Code des befallenen Programms umschreiben können;

•HLLP – Parasitäre Viren;

•HLLC – Companion-Viren.

Zu dieser Gruppe gehört auch:

•Java – Viren für die Java Virtual Machine.

Trojanische Pferde

Trojan ist der Sammelbegriff für verschiedene trojanische Programme (Trojaner). In einigen Fällen werden Präfixe dieser Gruppe zusammen mit dem Präfix Trojan verwendet.

•PWS – Trojaner, der Passwörter stiehlt.

•Backdoor – RAT-Trojaner (Remotezugriffstrojaner).

•IRC – Trojaner, der Internet Relayed Chat channels verwendet.

•DownLoader – Trojaner, der unbemerkt schädliche Dateien aus dem Internet herunterlädt.

•MulDrop – Trojaner, der unbemerkt Viren herunterlädt, die er in seinem Code enthält.

•Proxy – Trojaner, der Cyberkriminellen ermöglicht, den infizierten Rechner zur Navigation im Internet zu verwenden.

•StartPage (auch Seeker) – Trojaner, der die Browser-Startseite ändert.

•Click – Trojaner, der Webbrowser-Anfragen auf bestimmte Internetressourcen umleitet.

•KeyLogger – Trojaner, der Maus- und/oder Tastatureingaben aufzeichnet. Auf diese Weise können vertrauliche Informationen wie beispielsweise Passwörter entwendet werden.

•AVKill – Verhindert oder deinstalliert Antivirenprogramme, Firewalls usw.

•KillFiles, KillDisk, DiskEraser – Löscht bestimmte Gruppen von Dateien (Dateien in einem Ordner oder auf der Festplatte usw.).

•DelWin – Löscht systemkritische Dateien (vom Windows).

•FormatC – Formatiert das Laufwerk C: (auch FormatAll – Formatiert einzelne oder alle Laufwerke).

•KillMBR – Beschädigt oder löscht den Inhalt des Master Boot Record (MBR).

•KillCMOS – Beschädigt oder löscht den Inhalt von CMOS.

Tools zur Ausnutzung von Schwachstellen

•Exploit – Darunter fallen alle Tools, die bekannte Schwachstellen bestimmter Betriebssysteme oder Anwendungen ausnutzen, um einen schädlichen Code oder Virus ins System einzudringen bzw. den Rechner zu steuern.

Tools für Netzattacken

•Nuke – Darunter fallen alle Tools, die bekannte Schwachstellen bestimmter Betriebssysteme ausnutzen, um das attackierte System lahmzulegen.

•DDoS – Programme dieses Typs realisieren DDoS-Attacken auf entfernte Server, um sie lahmzulegen (Distributed Denial Of Service – Dienstverweigerung).

•FDOS (auch Flooder) – Flooder Denial Of Service – Programme für Netzattacken, die DoS-Mechanismen verwenden, um Internet-Kanäle lahmzulegen. Im Unterschied zu DDoS-Programmen, die mehrere auf verschiedenen Rechnern laufende Clients verwenden, kann das FDOS-Programm ganz autark funktionieren.

Script-Viren

Präfixe von Script-Viren, die in verschiedenen Skriptsprachen geschrieben sind:

•VBS – Visual Basic Script;

•JS – Java Script;

•Wscript – Visual Basic Script und/oder Java Script;

•Perl – Perl;

•PHP – PHP;

•BAT – Sprache vom Kommandozeileninterpreter von MS-DOS.

Schadprogramme

Präfixe für Objekte, die nicht als Viren, sondern als Schadprogramme eingestuft werden:

•Adware – Adware;

•Dialer – Dialer (leitet den Anruf auf eine voreingestellte kostenpflichtige Nummer oder eine kostenpflichtige Webseite um);

•Joke – Scherzprogramm;

•Program – Riskware;

•Tool – Hacking-Tool.

Sonstiges

Der Präfix generic steht nach einem anderen Präfix, der auf die Umgebung oder Programmiersprache hinweist, und dient zur Kennzeichnung des typischen Beispiels dieser Gruppe von Viren. Ein solcher Virus besitzt keine besonderen Eigenschaften (also keine Textzeichenfolgen oder speziellen Effekte), anhand derer ihm ein Name vergeben werden kann.

Früher wurden solche Viren mit dem Präfix Silly gefolgt von verschiedenen Modifizierern gekennzeichnet.

Suffixe

Suffixe werden zur Benennung einiger spezifischer Viren verwendet:

•generator – Gibt an, dass das Objekt kein Virus, sondern ein Virusgenerator ist.

•based – Gibt an, dass der Virus mithilfe des angegebenen Virusgenerators oder durch die Modifizierung des angegebenen Virus erstellt wurde. In beiden Fällen kennzeichnen die Namen dieses Typs eine Gruppe, zu der Hunderte oder Tausende von Viren gehören können.

•dropper – Gibt an, dass das Objekt kein Virus, sondern ein Installationsprogramm des Virus ist.