Приложение В. Принципы именования угроз

При обнаружении вирусного кода компоненты Dr.Web сообщают пользователю средствами интерфейса и заносят в файл отчета имя вируса, присвоенное ему специалистами компании «Доктор Веб». Эти имена строятся по определенным принципам и отражают конструкцию вируса, классы уязвимых объектов, среду распространения (ОС и прикладные пакеты) и ряд других особенностей. Знание этих принципов может быть полезно для выявления программных и организационных уязвимостей защищаемой системы. Ниже дается краткое изложение принципов именования вирусов; более полная и постоянно обновляемая версия описания доступна по адресу https://vms.drweb.com/classification/.

Эта классификация в ряде случаев условна, поскольку конкретные виды вирусов могут обладать одновременно несколькими приведенными признаками. Кроме того, она не может считаться исчерпывающей, поскольку постоянно появляются новые виды вирусов и, соответственно, идет работа по уточнению классификации.

Полное имя вируса состоит из нескольких элементов, разделенных точками. При этом некоторые элементы, стоящие в начале полного имени (префиксы) и в конце (суффиксы), являются типовыми в соответствии с принятой классификацией.

Основные префиксы

Префиксы операционной системы

Нижеследующие префиксы применяются для называния вирусов, инфицирующих исполняемые файлы определенных платформ (ОС):

Win — 16-разрядные программы ОС Windows 3.1;

Win95 — 32-разрядные программы ОС Windows 95/98/Me;

WinNT — 32-разрядные и 64-разрядные программы ОС Windows NT/2000/XP/Vista/7/8/8.1/10;

Win32 — 32-разрядные программы различных сред ОС Windows 95/98/Me и ОС Windows NT/2000/XP/Vista/7/8/8.1/10;

Win64 — 64-разрядные программы ОС Windows XP/Vista/7/8/8.1/10;

Win32.NET — программы в ОС Microsoft .NET Framework;

OS2 — программы ОС OS/2;

Unix — программы различных UNIX-систем;

Linux — программы ОС Linux;

FreeBSD — программы ОС FreeBSD;

SunOS — программы ОС SunOS (Solaris);

Symbian — программы ОС Symbian OS (мобильная ОС).

Заметим, что некоторые вирусы могут заражать программы одной системы, хотя сами действуют в другой.

Вирусы, поражающие файлы MS Office

Группа префиксов вирусов, поражающих объекты MS Office (указан язык макросов, поражаемых данным типом вирусов):

WM — Word Basic (MS Word 6.0-7.0);

XM — VBA3 (MS Excel 5.0-7.0);

W97M — VBA5 (MS Word 8.0), VBA6 (MS Word 9.0);

X97M — VBA5 (MS Excel 8.0), VBA6 (MS Excel 9.0);

A97M — базы данных MS Access'97/2000;

PP97M — файлы-презентации MS PowerPoint;

O97M — VBA5 (MS Office'97), VBA6 (MS Office'2000), вирус заражает файлы более чем одного компонента MS Office.

Префиксы языка разработки

Группа префиксов HLL применяется для именования вирусов, написанных на языках программирования высокого уровня, таких как C, C++, Pascal, Basic и другие. Используются модификаторы, указывающие на базовый алгоритм функционирования, в частности:

HLLW — черви;

HLLM — почтовые черви;

HLLO — вирусы, перезаписывающие код программы жертвы;

HLLP — вирусы-паразиты;

HLLC — вирусы-спутники.

К группе префиксов языка разработки можно также отнести:

Java — вирусы для среды виртуальной машины Java.

Троянские программы

Trojan — общее название для различных Троянских программ (троянцев). Во многих случаях префиксы этой группы используются совместно с префиксом Trojan.

PWS — троянец, ворующий пароли;

Backdoor — троянец с RAT-функцией (Remote Administration Tool — утилита удаленного администрирования);

IRC — троянец, использующий для своего функционирования среду Internet Relayed Chat channels;

DownLoader — троянец, скрытно от пользователя загружающий различные вредоносные файлы из интернета;

MulDrop — троянец, скрытно от пользователя загружающий различные вирусы, содержащиеся непосредственно в его теле;

Proxy — троянец, позволяющий злоумышленнику работать в интернете анонимно через пораженный компьютер;

StartPage (синоним: Seeker) — троянец, несанкционированно подменяющий адрес страницы, указанной браузеру в качестве домашней (стартовой);

Click — троянец, организующий перенаправление пользовательских запросов браузеру на определенный сайт (или сайты);

KeyLogger — троянец-шпион; отслеживает и записывает нажатия клавиш на клавиатуре; может периодически пересылать собранные данные злоумышленнику;

AVKill — останавливает работу программ антивирусной защиты, сетевые экраны и т. п.; также может удалять эти программы с диска;

KillFiles, KillDisk, DiskEraser — удаляют некоторое множество файлов (файлы в определенных каталогах, файлы по маске, все файлы на диске и т. п.);

DelWin — удаляет необходимые для работы операционной системы (Windows) файлы;

FormatC — форматирует диск C: (синоним: FormatAll — форматирует несколько или все диски);

KillMBR — портит или стирает содержимое главного загрузочного сектора (MBR);

KillCMOS — портит или стирает содержимое CMOS.

Средство использования уязвимостей

Exploit — средство, использующее известные уязвимости некоторой операционной системы или приложения для внедрения в систему вредоносного кода, вируса или выполнения каких-либо несанкционированных действий.

Средства для сетевых атак

Nuke — средства для сетевых атак на некоторые известные уязвимости операционных систем с целью вызвать аварийное завершение работы атакуемой системы;

DDoS — программа-агент для проведения распределенных сетевых атак типа «отказ в обслуживании» (Distributed Denial Of Service);

FDOS (синоним: Flooder) — Flooder Denial Of Service — программы для разного рода вредоносных действий в Сети, так или иначе использующие идею атаки типа «отказ в обслуживании»; в отличие от DDoS, где против одной цели одновременно используется множество агентов, работающих на разных компьютерах, FDOS-программа работает как отдельная, «самодостаточная» программа.

Скрипт-вирусы

Префиксы вирусов, написанных на различных языках сценариев:

VBS — Visual Basic Script;

JS — Java Script;

Wscript — Visual Basic Script и/или Java Script;

Perl — Perl;

PHP — PHP;

BAT — язык командного интерпретатора ОС MS-DOS.

Вредоносные программы

Префиксы объектов, являющихся не вирусами, а иными вредоносными программами:

Adware — рекламная программа;

Dialer — программа дозвона (перенаправляющая звонок модема на заранее запрограммированный платный номер или платный ресурс);

Joke — программа-шутка;

Program — потенциально опасная программа (riskware);

Tool — программа-инструмент взлома (hacktool).

Разное

Префикс generic используется после другого префикса, обозначающего среду или метод разработки, для обозначения типичного представителя этого типа вирусов. Такой вирус не обладает никакими характерными признаками (как текстовые строки, специальные эффекты и т. д.), которые позволили бы присвоить ему какое-то особенное название.

Ранее для именования простейших безликих вирусов использовался префикс Silly с различными модификаторами.

Суффиксы

Суффиксы используются для именования некоторых специфических вирусных объектов:

generator — объект является не вирусом, а вирусным генератором;

based — вирус разработан с помощью указанного вирусного генератора или путем видоизменения указанного вируса. В обоих случаях имена этого типа являются родовыми и могут обозначать сотни и иногда даже тысячи вирусов;

dropper — указывает, что объект является не вирусом, а инсталлятором указанного вируса.