PDA

Просмотр полной версии : Формирование имени вируса



Geser
16.09.2004, 18:18
HLL - high level language
M -mail (symantec @mm - mass mailer)
W -worm
P - Parasitic
O - Overwriting (overwrites files)
BackDoor - организатор канала связи
Trojan (.PWS, .DownLoader) - приложение с маскировкой (различные типы действий)
Win, Win95, Win32, Linux, FreeBSD, Unix, OS2 - уязвимая ОС
FDOS, DDOS - агенты атак "отказ в обслуживании"
Flooder - примерно того же типа, но работает на более высоком уровне, например, топит IRC-канал
JSG, BTG, BWG - по-моему, генераторы зверей (JS, Bat-Trojan, Bat-Worm - думаю, так)
XM - скорее всего, eXcelMacro, а есть ещё WordMacro и они же с цифирками
Exploit - использует дыру в безопасности чего-то
Dialer - порнозвонилка

HLLO- High Level Language Overwrite. Такой вирус перезаписывает программу своим телом. Т.о. программа уничтожается, а при попытке запуска программы пользователем- запускается вирус и “заражает” дальше.
HLLC- High Level Language Companion. Большинство таких вирусов относятся к седой древности (6-7 лет назад), когда у пользователей стоял ДОС и они были очень ленивы. Эти вирусы ищут файл, и не изменяя его, создают свою копию, но с расширением .COM. Если ленивый пользователь пишет в командной строке только имя файла, то первым ДОС ищет COM файл, запуская вирус, который сначала делает свое дело, а потом запускает ЕХЕ файл. Есть и другая модификация HLLC- более современная: Вирус переименовывает файл, сохраняя имя, но меняя расширение- с ЕХЕ на, допустим, OBJ или MAP. Своим телом вирус замещает оригинальный файл. Т.о., пользователь запускает вирус, который, проведя акт размножения, запускает нужную программу- все довольны.
HLLP- High Level Language Parasitic. Самые продвинутые. Приписывают свое тело к файлу спереди. Первым стартует вирус, затем он восстанавливает программу и запускает ее. С написанием таких вирусов под Win связана проблема- Windows запрещает доступ к запущенному файлу- т.е. мы не можем читать “из себя”.

kps
18.10.2004, 20:06
VBS - написан на языке Visual Basic Script
Bat - написан на скрипт языке BATCH для ДОС
JS - написан на языке JavaScript
Java - написан на языке программирования Java
WinScript (WScript) - написан на командном языке Windows

santy
23.12.2004, 06:05
Перейдут ли когда-нибудь антивирусные кампании к единому обозначению вирусных тел?

Alexey P.
23.12.2004, 23:56
Вряд ли. Нужен единый центр для такой координации, его нету.

Shu_b
16.05.2005, 15:46
Появился на сайте классификатор названий по "DrWeb"
http://support.drweb.com/faq/a7/

{Вырезаны описанные в первом сообщении}

Макро-вирусы для MS Office.
Эти вирусы используют особенности форматов файлов и встроенные макро-языки приложений MS Office (Word Basic для MS Word 6.0-7.0; VBA3 для MS Excel 5.0-7.0; VBA5 для MS Office'97; VBA6 для MS Office'2000).
"WM." - инфицированию подвергаются документы и шаблоны MS Word 6.0-7.0;
"XM." - инфицированию подвергаются документы MS Excel 5.0-7.0 ;
"W97M." - инфицированию подвергаются документы и шаблоны MS Word 8.0-9.0 (MS Office'97/2000);
"X97M." - инфицированию подвергаются документы MS Excel 8.0-9.0 (MS Office'97/2000) ;
"A97M." - инфицированию подвергаются базы данных MS Access'97/2000;
"O97M." - мультиплатформенные макро-вирусы, инфицированию которыми подвергаются одновременно несколько приложений MS Office.

Троянские кони
"Trojan." - общее название для различных Троянских коней (Троянцев) :
"PWS." - Троянский конь, который ворует пароли. Как правило, префикс такой вирусной программы дополняется словом "Trojan." - "Trojan.PWS."
"Люк" - вирусная троянская программа, которая содержит в себе RAT-функцию (RAT - Remote Administration Tool - утилита удаленного администрирования).

Скрипт-вирусы
Такие вирусы пишутся на различных языках сценариев. Как правило, это VBS-, JS- и WScript- вирусные программы-черви, которые распространяются через электронную почту.
"VBS." - вирусы, написанные на языке Visual Basic Script;
"JS." - вирусы, написанные на языке Java Script language;
"WScript." - VBS- и/или JS- черви обычно встроены в HTML-файлы.
"BAT." - вирусы, написанные на языке командного интерпретатора MS-DOS
"Java." - вирусы написанные на языке программирования Java;

Вирусы поражающие различные операционные системы
"Win." - поражает 16 битовые исполняемые программы (NE) в операционной системе Windows NE - NewExe - формат исполняемых файлов операционной системы Windows 3.xx . Некоторые из этих вирусов могут работать не только в среде Windows'3.xx но также и в Win'95/98/NT.
"Win95." - поражает 32 битовые исполняемые программы (PE и LE(VxD) операционной системы Windows и только в среде Windows 95/98
"WinNT." - поражает 32 битовые исполняемые программы (PE) операционной системы Windows и действуют только в среде Windows NT;
"Win32." - поражает 32 битовые исполняемые программы (PE) операционной системы Windows и действуют в различных средах - Windows 95/98/NT;
"OS2." - поражают исполняемые программы (LX) операционной системы OS/2 и действуют только в среде OS/2;
"Linux." - поражают исполняемые программы операционной системы Linux и действуют только в среде Linux;

Silly-вирусы
Вирусы, которые не обладают никакими особенными характеристиками (такими как текстовые строки, специальные эффекты и т.д.) вследствие чего нет возможности присвоить таким вирусам особенные названия.
"SillyC" - не резидентные в памяти вирусы, объектами поражения которых являются только COM-файлы;
"SillyE" - не резидентные в памяти вирусы, объектами поражения которых являются только EXE-файлы;
"SillyCE" - не резидентные в памяти вирусы, объектами поражения которых являются только COM- и EXE-файлы;
"SillyRC" - резидентные в памяти вирусы, объектами поражения которых являются только COM-файлы;
"SillyRE" - резидентные в памяти вирусы, объектами поражения которых являются только EXE-файлы;
"SillyRCE" - резидентные в памяти вирусы, объектами поражения которых являются только COM- и EXE-файлы;
"SillyO" -не резидентные в памяти вирусы, которые перезаписывают файлы;
"SillyOR" - резидентные в памяти вирусы, которые перезаписывают файлы.

Другие
"IRC." - вирусные программы-черви, которые распространяются используя среду Internet Relayed Chat channels.

Также при классификации вирусов компания ООО "Доктор Веб" использует следующие суффиксы:

".generator" - специфицирует так называемый «Вирусный конструктор»
".based" - этот суффикс означает, что вирус был сгенерирован специальной программой «Вирусный конструктор» или что вирус был создан как модификация какого-то "basic" вирусного кода
".dropper" - общее название для «инсталлятора» вируса. Не является сам вирусом. При запуске производит вирус и инсталлирует его в операционную систему (в исполянемый файл, документ, загрузочный сектор и т.д.).

Рико
23.11.2005, 15:21
А что это за вирус Cydoor?..
Антивир находит его, но не удаляет :(

anton_dr
23.11.2005, 15:37
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=61745
Наверняка у Вас в системе кроме этого есть еще зараза. Если Вас это раздражает, и Вы хотите избавиться от этого, действуйте, согласно правилам http://virusinfo.info/showthread.php?t=1235

[500mhz]
05.11.2007, 23:58
HLLP- High Level Language Parasitic. Самые продвинутые. Приписывают свое тело к файлу спереди. Первым стартует вирус, затем он восстанавливает программу и запускает ее. С написанием таких вирусов под Win связана проблема- Windows запрещает доступ к запущенному файлу- т.е. мы не можем читать “из себя”.
ой ли? оверлеи уже отменили?

пс
не вижу смысла читать "из себя" всегда можно поменять размер секции и имадже сайз

TANUKI
06.11.2007, 00:44
Есть у Вэба и "Сифилис" - вот что это за оригинальное обозначение? :)

tosha_men
01.05.2009, 21:27
Пользуюсь НОДом, заинтересовали некоторые обозначения:
Agent
Jump
FakeAlert
Может кто знает? Устройте легбез.

bmw-mtv
01.05.2009, 21:45
Вот Энциклопедия угроз (http://www.eset.eu/support/encyclopaedia) от Eset
есть список всех вирусов (наверное :)), а вот классификатора подобного ЛК нет.

priv8v
01.05.2009, 21:55
http://www.viruslist.com/ru/viruses/encyclopedia?chapter=156769326 - сбоку щелкайте (слева) будут открываться описания разных классов адварь. А если рыть в самой энциклопедии названий, то сможете увидеть описания разной "нечисти" - описаний много, многие хорошие (подробные).

surok
24.05.2009, 14:19
Часто можно встретить в имени вируса слово "generic". Что оно означает?

Слово "heur" означает, что файл обнаружен эвристическим анализом и является лишь подозрительным, так?

AndreyKa
24.05.2009, 17:04
Например, Антивирус Касперского часто детектирует файлы как "HEUR:Trojan.Win32.Generic" :)
Generic это принадлежность к некому семейству. В приведенном примере возможна принадлежность к семейству троянов для Windows.
...Generic-ом так-же может быть сигнатурный детект некой обобщенной записью в антивирусной базе (Win32.HLLM.Generic.206, VBS.Generic.452).
Если файл детектируется со словом "heur", то это действительно только подозрение и надо сначала подумать, прежде чем его удалить. Отправляйте такие файлы в антивирусную лабораторию.

surok
24.05.2009, 17:53
То есть слово "generic" стоит как шаблон (типа звёздочки) и подразумевает замену себя на что-то другое при указании не семейства, а конкретного вируса?
Наример:
Trojan.Win32.Generic: Trojan.Win32.ASD, Trojan.Win32.GYHT и т.д.
Win32.HLLM.Generic.206: Win32.HLLM.XXX.206, Win32.HLLM.LLL.206 и т.д.

Добавлено через 10 минут

Ещё хотел спросить про слово "agent" в имени вируса - что оно означает?

borka
25.05.2009, 01:08
То есть слово "generic" стоит как шаблон (типа звёздочки) и подразумевает замену себя на что-то другое при указании не семейства, а конкретного вируса?
В принципе - да. Например, есть Win32.HLLM.Generic.355 - это некий представитель семейства почтовых вирусов, ничем не примечательный, так сказать, рядовой. ;) А Win32.HLLM.Gibe.2 - второе поколение вируса Gibe, обладающее вполне конкретным проявлением и характеристиками. Вообще generic-записью "накрывают" достаточно много однотипных троянов/вирусов со схожим механизмом работы.

surok
25.05.2009, 14:15
А слово "agent" в имени вируса что означает?

AAATRIGGER
04.07.2010, 18:17
А что за зверь с именем Win32/AutoRun.NAE (ESET)? И какой эквивалент его миенив ЛК?

AndreyKa
04.07.2010, 18:31
AAATRIGGER, AutoRun в имени значит, что зловред может распространяться, заражая флешки и сетевые диски.
А для поиска эквивалента можно воспользоваться поиском на сайте:
http://www.securelist.com/ru/find?words=Win32%2FAutoRun.NAE&searchtype=virus2

Gena_Solovev
21.01.2011, 20:25
MW6:CAP family
avast 5 нашел в файлах с расширением .doc ( детект состаялся сегодня, раньше -реакции небыло )
Office 2007 SP2, Windows XP SP3