Родовая классификация вредоносного ПО
В интегрированных аналитических отчетах, публикуемых в разделе "[URL="http://virusinfo.info/forumdisplay.php?f=64"]Наши статьи[/URL]", используется определенная терминология, связанная с классификацией вредоносного программного обеспечения. Различные поставщики антивирусных решений имеют свои собственные методы классифицирования, поэтому, чтобы читателю была понятна применяемая терминология, я вкратце объясню, что есть что.
Наиболее общим является деление вредоносных программ на роды. При написании отчетов я придерживаюсь подразделения ВПО на три основных рода: TrojWare, VirWare, OtherMalWare.
[B]TrojWare[/B]
TrojWare - это группа программ, поведение которых ассоциируется с понятием "троянского коня". В настоящее время спектр троянских программ значительно шире, и ему обычно дают довольно неясное определение. Сюда попадают средства кражи или несанкционированного изменения информации, нарушения работы отдельных компьютеров и сетей, загрузки или установки нового вредоносного кода, извлечения финансовой выгоды из вредоносных действий и тому подобное. Кроме того, в эту же группу входят бэкдоры и руткиты.
К роду TrojWare относятся следующие классы ВПО:
[LIST][*]Backdoor[*]Rootkit[*]Trojan[*]Trojan-Banker[*]Trojan-Clicker[*]Trojan-DDoS[*]Trojan-Downloader[*]Trojan-Dropper[*]Trojan-GameThief[*]Trojan-Mailfinder[*]Trojan-Proxy[*]Trojan-PSW[*]Trojan-Ransom[*]Trojan-SMS[*]Trojan-Spy[*]все эвристические вердикты, относящиеся к любому из вышеперечисленных классов (HEUR:Trojan, HEUR:Backdoor и т.п.)[/LIST]
[B]VirWare[/B]
К роду VirWare относятся вредоносные программы, одной из основных функциональных особенностей которых является самораспространение. Под это определение подпадают все виды червей и классические вирусы; соответственно, к этому роду причисляются следующие классы:
[LIST][*]Email-Worm[*]IM-Worm[*]IRC-Worm[*]Net-Worm[*]P2P-Worm[*]Type[*]Virus[*]Worm[*]все эвристические вердикты, относящиеся к любому из вышеперечисленных классов (HEUR:Worm, HEUR:Virus и т.п.)[/LIST]
[B]OtherMalWare[/B]
Все остальное ВПО, которое не относится ни к TrojWare, ни к VirWare, автоматически попадает в категорию "прочего вредоносного программного обеспечения". Этот род имеет наибольшее количество внутренних классов, но наименьшую численность. Примерный список входящих в его состав поведений таков:
[LIST][*]AdTool[*]AdWare[*]Client-IRC[*]Constructor[*]Dialer[*]DoS[*]Downloader[*]Email-Flooder[*]Exploit[*]FraudTool[*]HackTool[*]Hoax[*]IM-Flooder[*]Monitor[*]MultiPacked[*]NetTool[*]Packed[*]Porn-Dialer[*]Porn-Downloader[*]PSWTool[*]RemoteAdmin[*]RiskTool[*]Server-FTP[*]Server-Proxy[*]SuspiciousPacker[*]Type_Script[*]WebToolbar[/LIST]
Определения каждого из классов (поведений), входящих в состав названных выше родов, можно найти в энциклопедии [URL="http://securelist.ru"]Securelist[/URL].