Anhang C. Benennung von Bedrohungen

Bei der Erkennung eines schädlichen Codes wird der Benutzer von den Dr.Web Komponenten darüber informiert. Dabei wird der Name des Schadprogramms protokolliert, unter dem dieses von den Virenanalysten von Doctor Web in die Dr.Web Virendatenbank eingetragen wurde. Diese Virennamen werden nach bestimmten Regeln (Benennungskonventionen) zusammengestellt und weisen auf die Struktur des Virus, die Klasse des anfälligen Objekts, die Verbreitungsumgebung (Betriebssysteme und Programmpakete) und weitere Besonderheiten hin. Diese Informationen können hilfreich sein, um Schwachstellen und Sicherheitslücken im geschützten System und in der Software umgehend zu lokalisieren und zu beseitigen. Unten finden Sie eine kurze Beschreibung der Konventionen, die für die Benennung von Viren gelten. Die aktuellsten Informationen dazu sind immer unter https://vms.drweb.com/classification/ verfügbar.

Es handelt sich dabei um eine rein formale Klassifikation, da einige Viren mehrere Eigenschaften besitzen können. Außerdem kann sie nicht alle Bedrohungen umfassen, da das Spektrum an Schadprogrammen sehr umfangreich ist.

Der vollständige Name des Virus besteht aus mehreren durch einen Punkt getrennten Elemente. Einige am Angang (Präfixe) und am Ende (Suffixe) stehenden Elemente deuten auf den Typ der Bedrohung entsprechend der verwendeten Klassifikation hin.

Allgemeine Präfixe

Präfixe von Betriebssystemen

Die unten aufgelisteten Präfixe werden verwendet, um Viren zu benennen, die ausführbare Dateien bestimmter Betriebssysteme infizieren:

Win – 16-Bit-Programme unter Windows 3.1

Win95 – 32-Bit-Programme unter Windows 95/98/Me

WinNT – 32- und 64-Bit-Programme unter Windows NT/2000/XP/Vista/7/8/8.1/10

Win32 – 32-Bit-Programme unter Windows 95/98/Me und Windows NT/2000/XP/Vista/7/8/8.1/10

Win64 – 64-Bit-Programme unter Windows XP/Vista/7/8/8.1/10/11

Win32.NET – Programme unter Microsoft .NET Framework

OS2 – Programme unter OS/2

Unix – Programme unter UNIX-basierten Betriebssystemen

Linux – Programme unter Linux

FreeBSD – Programme unter FreeBSD

SunOS – Programme unter SunOS (Solaris)

Symbian – Programme unter Symbian OS (mobiles Betriebssystem)

Bitte beachten Sie Folgendes: Einige Viren sind in der Lage, Programme verschiedener Betriebssysteme zu infizieren.

Viren, die Dateien von MS Office infizieren

Präfixe von Viren, die Objekte von MS Office infizieren (angegeben ist die Sprache der Makros, die der jeweilige Virus infiziert):

WM – Word Basic (MS Word 6.0-7.0)

XM – VBA3 (MS Excel 5.0-7.0)

W97M – VBA5 (MS Word 8.0), VBA6 (MS Word 9.0)

X97M – VBA5 (MS Excel 8.0), VBA6 (MS Excel 9.0)

A97M – Datenbanken von MS Access‘97/2000

PP97M – Präsentationsdateien von MS PowerPoint

O97M – VBA5 (MS Office'97), VBA6 (MS Office‘2000); der Virus infiziert Dateien mehrerer Komponenten von MS Office

Präfixe von Programmiersprachen

Die Präfixgruppe HLL wird verwendet, um Viren zu benennen, die in einer höheren Programmiersprache, z. B. in C, C++, Pascal, Basic etc., geschrieben sind. Die Modifizierer stehen für den Funktionsalgorithmus:

HLLW – Würmer

HLLM – E-Mail-Würmer

HLLO – Viren, die den Code des befallenen Programms umschreiben können

HLLP – Parasitäre Viren

HLLC – Companion-Viren

Zu dieser Gruppe gehört auch folgende Viren:

Java – Viren für die Java Virtual Machine

Trojanische Pferde

Trojan ist der Sammelbegriff für verschiedene trojanische Programme (Trojaner). In einigen Fällen werden Präfixe dieser Gruppe zusammen mit dem Präfix Trojan verwendet.

PWS – Trojaner, der Passwörter stiehlt.

Backdoor – RAT-Trojaner (Remotezugriffstrojaner).

IRC – Trojaner, der Internet Relayed Chat channels verwendet.

DownLoader – Trojaner, der schädliche Dateien unbemerkt über das Internet herunterlädt.

MulDrop – Trojaner, der unbemerkt Viren lädt, die in seinem Code enthalten sind.

Proxy – Trojaner, der Cyberkriminellen es ermöglicht, einen infizierten Rechner zur Arbeit im Internet zu nutzen.

StartPage (auch Seeker) – Trojaner, der die Browser-Startseite ändert.

Click – Trojaner, der Webbrowser-Anfragen auf bestimmte Internetressourcen umleitet.

KeyLogger – Trojaner, der Maus- und/oder Tastatureingaben aufzeichnet. Auf diese Weise können vertrauliche Informationen (z. B. Passwörter) gestohlen werden.

AVKill – Beendet oder deinstalliert Antivirenprogramme, Firewalls usw.

KillFiles, KillDisk, DiskEraser – Löscht bestimmte Gruppen von Dateien (Dateien in einem Ordner oder auf der Festplatte usw.).

DelWin – Löscht systemkritische Dateien (Windows).

FormatC – Formatiert das Laufwerk C: (auch FormatAll – Formatiert einzelne oder alle Laufwerke).

KillMBR – Beschädigt oder löscht den Inhalt des Master Boot Record (MBR).

KillCMOS – Beschädigt oder löscht den Inhalt von CMOS.

Tools zur Ausnutzung von Schwachstellen

Exploit – Tools, die bekannte Schwachstellen bestimmter Betriebssysteme oder Anwendungen ausnutzen, um einen schädlichen Code oder Virus ins System zu implementieren oder den Rechner zu steuern.

Tools für Netzattacken

Nuke – Tools, die bekannte Schwachstellen bestimmter Betriebssysteme ausnutzen, um das attackierte System lahmzulegen.

DDoS – Programme dieses Typs realisieren DDoS-Attacken auf entfernte Server, um diese lahmzulegen (Distributed Denial Of Service – Dienstverweigerung).

FDOS (auch Flooder) – Flooder Denial Of Service – Programme für Netzattacken, die DoS-Mechanismen verwenden, um Internet-Kanäle lahmzulegen. Im Unterschied zu DDoS-Programmen, die mehrere auf verschiedenen Rechnern laufende Clients verwenden, kann das FDOS-Programm völlig autark funktionieren.

Script-Viren

Präfixe von Script-Viren, die in verschiedenen Skriptsprachen geschrieben sind:

VBS – Visual Basic Script

JS – Java Script

Wscript – Visual Basic Script und/oder Java Script

Perl – Perl

PHP – PHP

BAT – Sprache vom Kommandozeileninterpreter von MS-DOS

Schadprogramme

Präfixe für Objekte, die nicht als Viren, sondern als Schadprogramme eingestuft werden:

Adware – Adware

Dialer – Dialer (leitet den Modemanruf auf eine voreingestellte kostenpflichtige Nummer oder eine kostenpflichtige Webseite um)

Joke – Scherzprogramm

Program – Riskware

Tool – Hacking-Tool

Sonstiges

Das Präfix generic steht nach einem anderen Präfix, der auf die Umgebung oder auf die Programmiersprache hinweist, und dient zur Kennzeichnung des typischen Beispiels dieser Gruppe von Viren. Ein solcher Virus besitzt keine besonderen Eigenschaften (keine besonderen Textzeichenfolgen oder Effekte), anhand derer er benannt werden kann.

Früher wurden solche Viren mit dem Präfix Silly gefolgt von verschiedenen Modifizierern gekennzeichnet.

Suffixe

Suffixe werden zur Benennung einiger spezifischer Viren verwendet:

generator – Gibt an, dass es sich nicht um einen Virus, sondern um einen Virusgenerator handelt.

based – Gibt an, dass der Virus mithilfe des angegebenen Virusgenerators oder durch die Modifizierung des angegebenen Virus erstellt wurde. In beiden Fällen kennzeichnen die Namen dieses Typs eine Gruppe, zu der Hunderte oder Tausende von Viren gehören können.

dropper – Gibt an, dass es sich nicht um einen Virus, sondern um ein Installationsprogramm des Virus handelt.