-
Родовая классификация вредоносного ПО
В интегрированных аналитических отчетах, публикуемых в разделе "Наши статьи", используется определенная терминология, связанная с классификацией вредоносного программного обеспечения. Различные поставщики антивирусных решений имеют свои собственные методы классифицирования, поэтому, чтобы читателю была понятна применяемая терминология, я вкратце объясню, что есть что.
Наиболее общим является деление вредоносных программ на роды. При написании отчетов я придерживаюсь подразделения ВПО на три основных рода: TrojWare, VirWare, OtherMalWare.
TrojWare
TrojWare - это группа программ, поведение которых ассоциируется с понятием "троянского коня". В настоящее время спектр троянских программ значительно шире, и ему обычно дают довольно неясное определение. Сюда попадают средства кражи или несанкционированного изменения информации, нарушения работы отдельных компьютеров и сетей, загрузки или установки нового вредоносного кода, извлечения финансовой выгоды из вредоносных действий и тому подобное. Кроме того, в эту же группу входят бэкдоры и руткиты.
К роду TrojWare относятся следующие классы ВПО:
- Backdoor
- Rootkit
- Trojan
- Trojan-Banker
- Trojan-Clicker
- Trojan-DDoS
- Trojan-Downloader
- Trojan-Dropper
- Trojan-GameThief
- Trojan-Mailfinder
- Trojan-Proxy
- Trojan-PSW
- Trojan-Ransom
- Trojan-SMS
- Trojan-Spy
- все эвристические вердикты, относящиеся к любому из вышеперечисленных классов (HEUR:Trojan, HEUR:Backdoor и т.п.)
VirWare
К роду VirWare относятся вредоносные программы, одной из основных функциональных особенностей которых является самораспространение. Под это определение подпадают все виды червей и классические вирусы; соответственно, к этому роду причисляются следующие классы:
- Email-Worm
- IM-Worm
- IRC-Worm
- Net-Worm
- P2P-Worm
- Type
- Virus
- Worm
- все эвристические вердикты, относящиеся к любому из вышеперечисленных классов (HEUR:Worm, HEUR:Virus и т.п.)
OtherMalWare
Все остальное ВПО, которое не относится ни к TrojWare, ни к VirWare, автоматически попадает в категорию "прочего вредоносного программного обеспечения". Этот род имеет наибольшее количество внутренних классов, но наименьшую численность. Примерный список входящих в его состав поведений таков:
- AdTool
- AdWare
- Client-IRC
- Constructor
- Dialer
- DoS
- Downloader
- Email-Flooder
- Exploit
- FraudTool
- HackTool
- Hoax
- IM-Flooder
- Monitor
- MultiPacked
- NetTool
- Packed
- Porn-Dialer
- Porn-Downloader
- PSWTool
- RemoteAdmin
- RiskTool
- Server-FTP
- Server-Proxy
- SuspiciousPacker
- Type_Script
- WebToolbar
Определения каждого из классов (поведений), входящих в состав названных выше родов, можно найти в энциклопедии Securelist.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru: