# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Формирование имени вируса

## Geser

HLL - high level language
M -mail (symantec @mm - mass mailer)
W -worm
P - Parasitic
O - Overwriting (overwrites files)
BackDoor - организатор канала связи
Trojan (.PWS, .DownLoader) - приложение с маскировкой (различные типы действий)
Win, Win95, Win32, Linux, FreeBSD, Unix, OS2 - уязвимая ОС
FDOS, DDOS - агенты атак "отказ в обслуживании"
Flooder - примерно того же типа, но работает на более высоком уровне, например, топит IRC-канал
JSG, BTG, BWG - по-моему, генераторы зверей (JS, Bat-Trojan, Bat-Worm - думаю, так)
XM - скорее всего, eXcelMacro, а есть ещё WordMacro и они же с цифирками
Exploit - использует дыру в безопасности чего-то
Dialer - порнозвонилка 

*HLLO- High Level Language Overwrite*. Такой вирус перезаписывает программу своим телом. Т.о. программа уничтожается, а при попытке запуска программы пользователем- запускается вирус и “заражает” дальше. 
*HLLC- High Level Language Companion*. Большинство таких вирусов относятся к седой древности (6-7 лет назад), когда у пользователей стоял ДОС и они были очень ленивы. Эти вирусы ищут файл, и не изменяя его, создают свою копию, но с расширением .COM. Если ленивый пользователь пишет в командной строке только имя файла, то первым ДОС ищет COM файл, запуская вирус, который сначала делает свое дело, а потом запускает ЕХЕ файл. Есть и другая модификация HLLC- более современная: Вирус переименовывает файл, сохраняя имя, но меняя расширение- с ЕХЕ на, допустим, OBJ или MAP. Своим телом вирус замещает оригинальный файл. Т.о., пользователь запускает вирус, который, проведя акт размножения, запускает нужную программу- все довольны. 
*HLLP- High Level Language Parasitic*. Самые продвинутые. Приписывают свое тело к файлу спереди. Первым стартует вирус, затем он восстанавливает программу и запускает ее. С написанием таких вирусов под Win связана проблема- Windows запрещает доступ к запущенному файлу- т.е. мы не можем читать “из себя”.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## kps

VBS - написан на языке Visual Basic Script
Bat - написан на скрипт языке BATCH для ДОС
JS - написан на языке JavaScript
Java - написан на языке программирования Java
WinScript (WScript) - написан на командном языке Windows

----------


## santy

Перейдут ли когда-нибудь антивирусные кампании к единому обозначению вирусных тел?

----------


## Alexey P.

Вряд ли. Нужен единый центр для такой координации, его нету.

----------


## Shu_b

Появился на сайте классификатор названий по "DrWeb"
http://support.drweb.com/faq/a7/

{Вырезаны описанные в первом сообщении}

*Макро-вирусы для MS Office.* 
Эти вирусы используют особенности форматов файлов и встроенные макро-языки приложений MS Office (Word Basic для MS Word 6.0-7.0; VBA3 для MS Excel 5.0-7.0; VBA5 для MS Office'97; VBA6 для MS Office'2000). 
"WM." - инфицированию подвергаются документы и шаблоны MS Word 6.0-7.0; 
"XM." - инфицированию подвергаются документы MS Excel 5.0-7.0 ; 
"W97M." - инфицированию подвергаются документы и шаблоны MS Word 8.0-9.0 (MS Office'97/2000); 
"X97M." - инфицированию подвергаются документы MS Excel 8.0-9.0 (MS Office'97/2000) ; 
"A97M." - инфицированию подвергаются базы данных MS Access'97/2000; 
"O97M." - мультиплатформенные макро-вирусы, инфицированию которыми подвергаются одновременно несколько приложений MS Office.

*Троянские кони* 
"Trojan." - общее название для различных Троянских коней (Троянцев) : 
"PWS." - Троянский конь, который ворует пароли. Как правило, префикс такой вирусной программы дополняется словом "Trojan." - "Trojan.PWS." 
"Люк" - вирусная троянская программа, которая содержит в себе RAT-функцию (RAT - Remote Administration Tool - утилита удаленного администрирования).

*Скрипт-вирусы*
Такие вирусы пишутся на различных языках сценариев. Как правило, это VBS-, JS- и WScript- вирусные программы-черви, которые распространяются через электронную почту. 
"VBS." - вирусы, написанные на языке Visual Basic Script; 
"JS." - вирусы, написанные на языке Java Script language; 
"WScript." - VBS- и/или JS- черви обычно встроены в HTML-файлы. 
"BAT." - вирусы, написанные на языке командного интерпретатора MS-DOS
"Java." - вирусы написанные на языке программирования Java;

*Вирусы поражающие различные операционные системы* 
"Win." - поражает 16 битовые исполняемые программы (NE) в операционной системе Windows NE - NewExe - формат исполняемых файлов операционной системы Windows 3.xx . Некоторые из этих вирусов могут работать не только в среде Windows'3.xx но также и в Win'95/98/NT. 
"Win95." - поражает 32 битовые исполняемые программы (PE и LE(VxD) операционной системы Windows и только в среде Windows 95/98 
"WinNT." - поражает 32 битовые исполняемые программы (PE) операционной системы Windows и действуют только в среде Windows NT; 
"Win32." - поражает 32 битовые исполняемые программы (PE) операционной системы Windows и действуют в различных средах - Windows 95/98/NT; 
"OS2." - поражают исполняемые программы (LX) операционной системы OS/2 и действуют только в среде OS/2; 
"Linux." - поражают исполняемые программы операционной системы Linux и действуют только в среде Linux; 

*Silly-вирусы* 
Вирусы, которые не обладают никакими особенными характеристиками (такими как текстовые строки, специальные эффекты и т.д.) вследствие чего нет возможности присвоить таким вирусам особенные названия. 
"SillyC" - не резидентные в памяти вирусы, объектами поражения которых являются только COM-файлы; 
"SillyE" - не резидентные в памяти вирусы, объектами поражения которых являются только EXE-файлы; 
"SillyCE" - не резидентные в памяти вирусы, объектами поражения которых являются только COM- и EXE-файлы; 
"SillyRC" - резидентные в памяти вирусы, объектами поражения которых являются только COM-файлы; 
"SillyRE" - резидентные в памяти вирусы, объектами поражения которых являются только EXE-файлы; 
"SillyRCE" - резидентные в памяти вирусы, объектами поражения которых являются только COM- и EXE-файлы; 
"SillyO" -не резидентные в памяти вирусы, которые перезаписывают файлы; 
"SillyOR" - резидентные в памяти вирусы, которые перезаписывают файлы.

*Другие* 
"IRC." - вирусные программы-черви, которые распространяются используя среду Internet Relayed Chat channels. 

Также при классификации вирусов компания ООО "Доктор Веб" использует следующие суффиксы: 

".generator" - специфицирует так называемый «Вирусный конструктор»
".based" - этот суффикс означает, что вирус был сгенерирован специальной программой «Вирусный конструктор» или что вирус был создан как модификация какого-то "basic" вирусного кода
".dropper" - общее название для «инсталлятора» вируса. Не является сам вирусом. При запуске производит вирус и инсталлирует его в операционную систему (в исполянемый файл, документ, загрузочный сектор и т.д.).

----------


## Рико

А что это за вирус Cydoor?..
Антивир находит его, но не удаляет  :Sad:

----------


## anton_dr

http://www.viruslist.com/ru/viruses/...?virusid=61745
Наверняка у Вас в системе кроме этого есть еще зараза. Если Вас это раздражает, и Вы хотите избавиться от этого, действуйте, согласно правилам http://virusinfo.info/showthread.php?t=1235

----------


## [500mhz]

> HLLP- High Level Language Parasitic. Самые продвинутые. Приписывают свое тело к файлу спереди. Первым стартует вирус, затем он восстанавливает программу и запускает ее. С написанием таких вирусов под Win связана проблема- Windows запрещает доступ к запущенному файлу- т.е. мы не можем читать “из себя”.


ой ли? оверлеи уже отменили?

пс
не вижу смысла читать "из себя" всегда можно поменять размер секции и имадже сайз

----------


## TANUKI

Есть у Вэба и "Сифилис" - вот что это за оригинальное обозначение?  :Smiley:

----------


## tosha_men

Пользуюсь НОДом, заинтересовали некоторые обозначения:
Agent
Jump
FakeAlert
Может кто знает? Устройте легбез.

----------


## bmw-mtv

Вот Энциклопедия угроз от Eset
есть список всех вирусов (наверное  :Smiley: ), а вот классификатора подобного ЛК нет.

----------


## priv8v

http://www.viruslist.com/ru/viruses/...pter=156769326  - сбоку щелкайте (слева) будут открываться описания разных классов адварь. А если рыть в самой энциклопедии названий, то сможете увидеть описания разной "нечисти" - описаний много, многие хорошие (подробные).

----------


## surok

Часто можно встретить в имени вируса слово "generic". Что оно означает?

Слово "heur" означает, что файл обнаружен эвристическим анализом и является лишь подозрительным, так?

----------


## AndreyKa

Например, Антивирус Касперского часто детектирует файлы как "HEUR:Trojan.Win32.Generic"  :Smiley: 
*Generic* это принадлежность к некому семейству. В приведенном примере возможна принадлежность к семейству троянов для Windows.
...Generic-ом так-же может быть сигнатурный детект некой обобщенной записью в антивирусной базе (Win32.HLLM.Generic.206, VBS.Generic.452).
Если файл детектируется со словом "heur", то это действительно только подозрение и надо сначала подумать, прежде чем его удалить. Отправляйте такие файлы в антивирусную лабораторию.

----------


## surok

То есть слово "generic" стоит как шаблон (типа звёздочки) и подразумевает замену себя на что-то другое при указании не семейства, а конкретного вируса?
Наример:
Trojan.Win32.Generic: Trojan.Win32.ASD, Trojan.Win32.GYHT и т.д.
Win32.HLLM.Generic.206: Win32.HLLM.XXX.206, Win32.HLLM.LLL.206 и т.д.

*Добавлено через 10 минут*

Ещё хотел спросить про слово "agent" в имени вируса - что оно означает?

----------


## borka

> То есть слово "generic" стоит как шаблон (типа звёздочки) и подразумевает замену себя на что-то другое при указании не семейства, а конкретного вируса?


В принципе - да. Например, есть Win32.HLLM.Generic.355 - это некий представитель семейства почтовых вирусов, ничем не примечательный, так сказать, рядовой.  :Wink:  А Win32.HLLM.Gibe.2 - второе поколение вируса Gibe, обладающее вполне конкретным проявлением и характеристиками. Вообще generic-записью "накрывают" достаточно много однотипных троянов/вирусов со схожим механизмом работы.

----------


## surok

А слово "agent" в имени вируса что означает?

----------


## AAATRIGGER

А что за зверь с именем Win32/AutoRun.NAE (ESET)? И какой эквивалент его миенив ЛК?

----------


## AndreyKa

*AAATRIGGER*, *AutoRun* в имени значит, что зловред может распространяться, заражая флешки и сетевые диски.
А для поиска эквивалента можно воспользоваться поиском на сайте:
http://www.securelist.com/ru/find?wo...rchtype=virus2

----------


## Gena_Solovev

MW6:CAP family
avast 5 нашел в файлах с расширением .doc ( детект состаялся сегодня, раньше -реакции небыло )
Office 2007 SP2, Windows XP SP3

----------

