Annexe C. Principes de nomination des menaces

En cas de détection d’un code viral les composants Dr.Web le signalent à l’utilisateur à l’aide des outils de l’interface et inscrivent le nom du virus, attribué par les spécialistes de l’entreprise Doctor Web, dans le fichier du rapport. Ces noms sont créés en fonction de certains principes et reflètent un modèle de menace, des catégories d’objets vulnérables, l’environnement de diffusion (OS et applications) et d’autres caractéristiques. Le fait de savoir ces principes peut être utile pour la compréhension du logiciel et les vulnérabilités organisationnelles du système protégé. Vous trouverez ci-dessous le bref exposé de ces principes, la version complète de cette classification qui est mise à jour constamment se trouve sur https://vms.drweb.com/classification/.

Dans certains cas, cette classification est conventionnelle, car certains virus possèdent plusieurs caractéristiques en même temps. De plus, elle ne devrait pas être considérée comme exhaustive car de nouveaux types de virus apparaissent constamment et la classification devient de plus en plus précise.

Le nom complet d’un virus se compose de plusieurs éléments, séparés par des points. Certains éléments au début du nom (préfixes) et à la fin du nom (suffixes) sont standards dans la classification.

Préfixes généraux

Préfixes du système d’exploitation

Les préfixes listés ci-dessous sont utilisés pour nommer les virus infectant les fichiers exécutables de certains OS :

Win : programmes 16 bits Windows 3.1 ;

Win95 : programmes 32 bits Windows 95/98/Me ;

Win95 : programmes 32 bits et 64 bits Windows NT/2000/XP/Vista/7/8/8.1/10 ;

Win32 : programmes 32 bits de différents environnements Windows 95/98/Me et Windows NT/2000/XP/Vista/7/8/8.1/10 ;

Win64 : programmes 64 bits Windows XP/Vista/7/8/8.1/10/11 ;

Win32.NET : programmes Microsoft .NET Framework ;

OS2 : programmes OS/2 ;

Unix : programmes dans différents systèmes basés sur UNIX ;

Linux : programmes Linux ;

FreeBSD : programmes FreeBSD ;

SunOS : programmes SunOS (Solaris) ;

Symbian : programmes Symbian OS (OS mobile).

Notez que certains virus peuvent infecter les programmes d’un système même s’ils sont créés pour fonctionner dans un autre système.

Virus infectant les fichiers MS Office

La liste des préfixes pour les virus qui infectent les objets MS Office (le langage des macros infectées par de tels virus est spécifié) :

WM : Word Basic (MS Word 6.0-7.0) ;

XM : VBA3 (MS Excel 5.0-7.0) ;

W97M : VBA5 (MS Word 8.0), VBA6 (MS Word 9.0) ;

X97M : VBA5 (MS Word 8.0), VBA6 (MS Word 9.0) ;

A97M : bases de données de MS Access’97/2000 ;

PP97M : présentations MS PowerPoint ;

O97M : VBA5 (MS Office’97), VBA6 (MS Office 2000) ; ce virus infecte les fichiers de plus d’un composant de MS Office.

Préfixes de langage de programmation

Le groupe de préfixes HLL est utilisé pour nommer les virus écrits en langages de programmation de haut niveau comme C, C++, Pascal, Basic et d’autres. On utilise des modificateurs, indiquant l’algorithme de fonctionnement de base, notamment :

HLLW : vers ;

HLLM : vers de messagerie ;

HLLO : virus qui réécrivent le code du programme victime ;

HLLP : virus parasites ;

HLLC : virus compagnon.

Le préfixe suivant se réfère également à un langage de développement :

Java : virus destinés à la machine virtuelle Java.

Chevaux de Troie

Cheval de Troie : nom général pour désigner différents programmes de Troie (Trojans). Dans de nombreux cas, les préfixes de ce groupe sont utilisés avec le préfixe Trojan.

PWS : Trojan voleur de mots de passe ;

Backdoor : Trojan avec la fonction de RAT (Remote Administration Tool – utilitaire d’administration à distance) ;

IRC : Trojan qui utilise des canaux Internet Relay Chat ;

DownLoader : Trojan qui télécharge discrètement les différents programmes malveillants sur Internet ;

MulDrop : Trojan qui télécharge discrètement des virus contenus dans son corps ;

Proxy : Trojan qui autorise une tierce personne à travailler anonymement sur Internet via l’ordinateur infecté ;

StartPage (synonyme : Seeker) : Trojan qui remplace sans autorisation la page d’accueil du navigateur (page de démarrage) ;

Click : Trojan qui redirige l’utilisateur vers un site spécial (ou des sites) ;

KeyLogger : Trojan spyware qui suit et enregistre des touches saisies ; il peut envoyer les données collectées à un cybercriminel ;

AVKill : stoppe ou supprime les programmes antivirus, pare-feu, etc. ;

KillFiles, KillDisk, DiskEraser : supprime certains fichiers (des fichiers dans certains répertoires, des fichiers selon certains masques, tous les fichiers sur les disques etc.) ;

DelWin : supprime les fichiers vitaux pour le fonctionnement de l’OS Windows ;

FormatC : formate le disque C : (synonyme : FormatAll : formate certains disques ou tous les disques) ;

KillMBR : corrompt ou supprime le contenu du secteur principal d’amorçage (MBR) ;

KillCMOS : corrompt ou supprime la mémoire CMOS.

Outil exploitant les vulnérabilités

Exploit : un outil exploitant les vulnérabilités connues d’un OS ou d’une application pour introduire un code malveillant ou effectuer des actions non autorisées.

Outils d’attaques réseaux

Nuke : outils destinés à attaquer certaines vulnérabilités connues des systèmes d’exploitation afin de provoquer l’arrêt du système attaqué ;

DDoS : programme-agent destiné à provoquer une attaque par déni de service (Distributed Denial of Service) ;

FDoS (synonyme : Flooder) : Flooder Denial Of Service – programmes destinés à effectuer des actions malveillantes sur Internet reposant sur l’idée des attaques par déni de service ; contrairement aux DDoS où plusieurs agents sur différents ordinateurs sont utilisés simultanément pour attaquer un système, un programme FDoS opère comme un programme indépendant « autosuffisant ».

Virus-script

Préfixes des virus écrits en différents langages de script :

VBS : Visual Basic Script ;

JS : Java Script ;

Wscript : Visual Basic Script et/ou Java Script ;

Perl : Perl ;

PHP : PHP ;

BAT : langage d’interprète de commande de l’OS MS-DOS.

Programmes malveillants

Préfixes des objets qui ne sont pas des virus, mais des programmes malveillants :

Adware : publicité ;

Dialer : programme dialer (il redirige les appels du modem vers des numéros payants) ;

Joke : canular ;

Program : un programme potentiellement dangereux (riskware) ;

Tool : programme utilisé pour faire du piratage (hacktool).

Divers

Le préfixe generic est utilisé, après un autre préfixe décrivant l’environnement ou la méthode de développement, pour nommer un représentant typique de ce type de virus. Un tel virus ne possède aucune caractéristique (comme des séries de texte, des effets spécifiques etc.) qui permettrait de lui donner un nom particulier.

Auparavant le préfixe Silly était utilisé avec les modificateurs différents pour nommer les virus simples, sans signe particulier.

Suffixes

Les suffixes sont utilisés pour nommer des objets viraux particuliers :

generator : un objet qui n’est pas un virus, mais un générateur de virus ;

based : un virus développé à l’aide d’un générateur spécifique ou d’un virus modifié. Dans les deux cas, les noms de virus de ce type sont génériques et peuvent définir des centaines voire des milliers de virus ;

dropper : un objet qui n’est pas un virus mais l’installateur du virus indiqué.