Показано с 1 по 20 из 20.

Формирование имени вируса

  1. #1
    Geser
    Guest

    Формирование имени вируса

    HLL - high level language
    M -mail (symantec @mm - mass mailer)
    W -worm
    P - Parasitic
    O - Overwriting (overwrites files)
    BackDoor - организатор канала связи
    Trojan (.PWS, .DownLoader) - приложение с маскировкой (различные типы действий)
    Win, Win95, Win32, Linux, FreeBSD, Unix, OS2 - уязвимая ОС
    FDOS, DDOS - агенты атак "отказ в обслуживании"
    Flooder - примерно того же типа, но работает на более высоком уровне, например, топит IRC-канал
    JSG, BTG, BWG - по-моему, генераторы зверей (JS, Bat-Trojan, Bat-Worm - думаю, так)
    XM - скорее всего, eXcelMacro, а есть ещё WordMacro и они же с цифирками
    Exploit - использует дыру в безопасности чего-то
    Dialer - порнозвонилка

    HLLO- High Level Language Overwrite. Такой вирус перезаписывает программу своим телом. Т.о. программа уничтожается, а при попытке запуска программы пользователем- запускается вирус и “заражает” дальше.
    HLLC- High Level Language Companion. Большинство таких вирусов относятся к седой древности (6-7 лет назад), когда у пользователей стоял ДОС и они были очень ленивы. Эти вирусы ищут файл, и не изменяя его, создают свою копию, но с расширением .COM. Если ленивый пользователь пишет в командной строке только имя файла, то первым ДОС ищет COM файл, запуская вирус, который сначала делает свое дело, а потом запускает ЕХЕ файл. Есть и другая модификация HLLC- более современная: Вирус переименовывает файл, сохраняя имя, но меняя расширение- с ЕХЕ на, допустим, OBJ или MAP. Своим телом вирус замещает оригинальный файл. Т.о., пользователь запускает вирус, который, проведя акт размножения, запускает нужную программу- все довольны.
    HLLP- High Level Language Parasitic. Самые продвинутые. Приписывают свое тело к файлу спереди. Первым стартует вирус, затем он восстанавливает программу и запускает ее. С написанием таких вирусов под Win связана проблема- Windows запрещает доступ к запущенному файлу- т.е. мы не можем читать “из себя”.


  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276

    Re:Формирование имени вируса

    VBS - написан на языке Visual Basic Script
    Bat - написан на скрипт языке BATCH для ДОС
    JS - написан на языке JavaScript
    Java - написан на языке программирования Java
    WinScript (WScript) - написан на командном языке Windows

  4. #3
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.11.2004
    Адрес
    Россия
    Сообщений
    1,006
    Вес репутации
    0

    Re:Формирование имени вируса

    Перейдут ли когда-нибудь антивирусные кампании к единому обозначению вирусных тел?

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    736

    Re:Формирование имени вируса

    Вряд ли. Нужен единый центр для такой координации, его нету.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636

    Классификация вирусов по "Доктор Веб"

    Появился на сайте классификатор названий по "DrWeb"
    http://support.drweb.com/faq/a7/

    {Вырезаны описанные в первом сообщении}

    Макро-вирусы для MS Office.
    Эти вирусы используют особенности форматов файлов и встроенные макро-языки приложений MS Office (Word Basic для MS Word 6.0-7.0; VBA3 для MS Excel 5.0-7.0; VBA5 для MS Office'97; VBA6 для MS Office'2000).
    "WM." - инфицированию подвергаются документы и шаблоны MS Word 6.0-7.0;
    "XM." - инфицированию подвергаются документы MS Excel 5.0-7.0 ;
    "W97M." - инфицированию подвергаются документы и шаблоны MS Word 8.0-9.0 (MS Office'97/2000);
    "X97M." - инфицированию подвергаются документы MS Excel 8.0-9.0 (MS Office'97/2000) ;
    "A97M." - инфицированию подвергаются базы данных MS Access'97/2000;
    "O97M." - мультиплатформенные макро-вирусы, инфицированию которыми подвергаются одновременно несколько приложений MS Office.

    Троянские кони
    "Trojan." - общее название для различных Троянских коней (Троянцев) :
    "PWS." - Троянский конь, который ворует пароли. Как правило, префикс такой вирусной программы дополняется словом "Trojan." - "Trojan.PWS."
    "Люк" - вирусная троянская программа, которая содержит в себе RAT-функцию (RAT - Remote Administration Tool - утилита удаленного администрирования).

    Скрипт-вирусы
    Такие вирусы пишутся на различных языках сценариев. Как правило, это VBS-, JS- и WScript- вирусные программы-черви, которые распространяются через электронную почту.
    "VBS." - вирусы, написанные на языке Visual Basic Script;
    "JS." - вирусы, написанные на языке Java Script language;
    "WScript." - VBS- и/или JS- черви обычно встроены в HTML-файлы.
    "BAT." - вирусы, написанные на языке командного интерпретатора MS-DOS
    "Java." - вирусы написанные на языке программирования Java;

    Вирусы поражающие различные операционные системы
    "Win." - поражает 16 битовые исполняемые программы (NE) в операционной системе Windows NE - NewExe - формат исполняемых файлов операционной системы Windows 3.xx . Некоторые из этих вирусов могут работать не только в среде Windows'3.xx но также и в Win'95/98/NT.
    "Win95." - поражает 32 битовые исполняемые программы (PE и LE(VxD) операционной системы Windows и только в среде Windows 95/98
    "WinNT." - поражает 32 битовые исполняемые программы (PE) операционной системы Windows и действуют только в среде Windows NT;
    "Win32." - поражает 32 битовые исполняемые программы (PE) операционной системы Windows и действуют в различных средах - Windows 95/98/NT;
    "OS2." - поражают исполняемые программы (LX) операционной системы OS/2 и действуют только в среде OS/2;
    "Linux." - поражают исполняемые программы операционной системы Linux и действуют только в среде Linux;

    Silly-вирусы
    Вирусы, которые не обладают никакими особенными характеристиками (такими как текстовые строки, специальные эффекты и т.д.) вследствие чего нет возможности присвоить таким вирусам особенные названия.
    "SillyC" - не резидентные в памяти вирусы, объектами поражения которых являются только COM-файлы;
    "SillyE" - не резидентные в памяти вирусы, объектами поражения которых являются только EXE-файлы;
    "SillyCE" - не резидентные в памяти вирусы, объектами поражения которых являются только COM- и EXE-файлы;
    "SillyRC" - резидентные в памяти вирусы, объектами поражения которых являются только COM-файлы;
    "SillyRE" - резидентные в памяти вирусы, объектами поражения которых являются только EXE-файлы;
    "SillyRCE" - резидентные в памяти вирусы, объектами поражения которых являются только COM- и EXE-файлы;
    "SillyO" -не резидентные в памяти вирусы, которые перезаписывают файлы;
    "SillyOR" - резидентные в памяти вирусы, которые перезаписывают файлы.

    Другие
    "IRC." - вирусные программы-черви, которые распространяются используя среду Internet Relayed Chat channels.

    Также при классификации вирусов компания ООО "Доктор Веб" использует следующие суффиксы:

    ".generator" - специфицирует так называемый «Вирусный конструктор»
    ".based" - этот суффикс означает, что вирус был сгенерирован специальной программой «Вирусный конструктор» или что вирус был создан как модификация какого-то "basic" вирусного кода
    ".dropper" - общее название для «инсталлятора» вируса. Не является сам вирусом. При запуске производит вирус и инсталлирует его в операционную систему (в исполянемый файл, документ, загрузочный сектор и т.д.).

  7. #6
    Рико
    Guest
    А что это за вирус Cydoor?..
    Антивир находит его, но не удаляет

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2265
    http://www.viruslist.com/ru/viruses/...?virusid=61745
    Наверняка у Вас в системе кроме этого есть еще зараза. Если Вас это раздражает, и Вы хотите избавиться от этого, действуйте, согласно правилам http://virusinfo.info/showthread.php?t=1235

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для [500mhz]
    Регистрация
    05.11.2007
    Сообщений
    290
    Вес репутации
    116
    HLLP- High Level Language Parasitic. Самые продвинутые. Приписывают свое тело к файлу спереди. Первым стартует вирус, затем он восстанавливает программу и запускает ее. С написанием таких вирусов под Win связана проблема- Windows запрещает доступ к запущенному файлу- т.е. мы не можем читать “из себя”.
    ой ли? оверлеи уже отменили?

    пс
    не вижу смысла читать "из себя" всегда можно поменять размер секции и имадже сайз

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для TANUKI
    Регистрация
    01.02.2007
    Адрес
    Kiev-Tokyo
    Сообщений
    454
    Вес репутации
    59
    Есть у Вэба и "Сифилис" - вот что это за оригинальное обозначение?
    In Avira & Dr.Web we trust!

  11. #10
    Junior Member Репутация
    Регистрация
    07.11.2008
    Сообщений
    28
    Вес репутации
    30
    Пользуюсь НОДом, заинтересовали некоторые обозначения:
    Agent
    Jump
    FakeAlert
    Может кто знает? Устройте легбез.
    [CENTER][INDENT]Если ты споришь с идиотом, вероятно тоже самое делает и он.[/INDENT][/CENTER]

  12. #11
    Junior Member Репутация
    Регистрация
    31.03.2009
    Адрес
    Регион 42
    Сообщений
    113
    Вес репутации
    29
    Вот Энциклопедия угроз от Eset
    есть список всех вирусов (наверное ), а вот классификатора подобного ЛК нет.
    Всё будет хорошо :)

  13. #12
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1236
    http://www.viruslist.com/ru/viruses/...pter=156769326 - сбоку щелкайте (слева) будут открываться описания разных классов адварь. А если рыть в самой энциклопедии названий, то сможете увидеть описания разной "нечисти" - описаний много, многие хорошие (подробные).
    // ...

  14. #13
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    96
    Вес репутации
    33
    Часто можно встретить в имени вируса слово "generic". Что оно означает?

    Слово "heur" означает, что файл обнаружен эвристическим анализом и является лишь подозрительным, так?

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Например, Антивирус Касперского часто детектирует файлы как "HEUR:Trojan.Win32.Generic"
    Generic это принадлежность к некому семейству. В приведенном примере возможна принадлежность к семейству троянов для Windows.
    ...Generic-ом так-же может быть сигнатурный детект некой обобщенной записью в антивирусной базе (Win32.HLLM.Generic.206, VBS.Generic.452).
    Если файл детектируется со словом "heur", то это действительно только подозрение и надо сначала подумать, прежде чем его удалить. Отправляйте такие файлы в антивирусную лабораторию.

  16. #15
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    96
    Вес репутации
    33
    То есть слово "generic" стоит как шаблон (типа звёздочки) и подразумевает замену себя на что-то другое при указании не семейства, а конкретного вируса?
    Наример:
    Trojan.Win32.Generic: Trojan.Win32.ASD, Trojan.Win32.GYHT и т.д.
    Win32.HLLM.Generic.206: Win32.HLLM.XXX.206, Win32.HLLM.LLL.206 и т.д.

    Добавлено через 10 минут

    Ещё хотел спросить про слово "agent" в имени вируса - что оно означает?
    Последний раз редактировалось surok; 24.05.2009 в 18:53. Причина: Добавлено

  17. #16
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    792
    Цитата Сообщение от surok Посмотреть сообщение
    То есть слово "generic" стоит как шаблон (типа звёздочки) и подразумевает замену себя на что-то другое при указании не семейства, а конкретного вируса?
    В принципе - да. Например, есть Win32.HLLM.Generic.355 - это некий представитель семейства почтовых вирусов, ничем не примечательный, так сказать, рядовой. А Win32.HLLM.Gibe.2 - второе поколение вируса Gibe, обладающее вполне конкретным проявлением и характеристиками. Вообще generic-записью "накрывают" достаточно много однотипных троянов/вирусов со схожим механизмом работы.
    ---
    С уважением,
    Borka.

  18. #17
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    96
    Вес репутации
    33
    А слово "agent" в имени вируса что означает?

  19. #18
    Junior Member Репутация
    Регистрация
    14.06.2010
    Сообщений
    40
    Вес репутации
    24
    А что за зверь с именем Win32/AutoRun.NAE (ESET)? И какой эквивалент его миенив ЛК?

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    AAATRIGGER, AutoRun в имени значит, что зловред может распространяться, заражая флешки и сетевые диски.
    А для поиска эквивалента можно воспользоваться поиском на сайте:
    http://www.securelist.com/ru/find?wo...rchtype=virus2

  21. #20
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Екатеринбург
    Сообщений
    102
    Вес репутации
    27
    MW6:CAP family
    avast 5 нашел в файлах с расширением .doc ( детект состаялся сегодня, раньше -реакции небыло )
    Office 2007 SP2, Windows XP SP3

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 10.06.2010, 21:00
  2. Подмена имени...
    От Dolour в разделе Помогите!
    Ответов: 21
    Последнее сообщение: 22.02.2009, 01:46
  3. Драйвер без имени
    От faye в разделе Вредоносные программы
    Ответов: 2
    Последнее сообщение: 08.02.2009, 21:41
  4. Запуск от имени...
    От Lamazz в разделе Microsoft Windows
    Ответов: 2
    Последнее сообщение: 14.01.2008, 15:47

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01244 seconds with 32 queries