Allegato C. Principi di denominazione delle minacce |
Se viene rilevato un codice di virus, i componenti Dr.Web ne informano l'utente tramite gli strumenti dell'interfaccia e scrivono nel file di log il nome del virus assegnato ad esso dagli specialisti dell'azienda Doctor Web. Questi nomi si basano su determinati principi e rispecchiano la struttura del virus, le classi di oggetti vulnerabili, l'ambiente di diffusione (sistema operativo e pacchetti applicativi) e una serie di altre caratteristiche. Conoscere questi principi può essere utile per identificare le vulnerabilità di software e organizzative del sistema protetto. Di seguito è riportato un riepilogo dei principi di denominazione dei virus; una versione più completa e costantemente aggiornata della descrizione è disponibile sull'indirizzo https://vms.drweb.com/classification/. Questa classificazione in alcuni casi è condizionale in quanto tipi specifici di virus possono avere più caratteristiche allo stesso tempo da quelle riportate. Inoltre, essa non può essere considerata esauriente in quanto appaiono costantemente nuovi tipi di virus e, di conseguenza, viene precisata la classificazione. Il nome completo di un virus è costituito da diversi elementi separati da punti. Alcuni elementi all'inizio del nome completo (prefissi) e alla fine (suffissi) sono tipici secondo la classificazione adottata. Principali prefissi Prefissi del sistema operativo I seguenti prefissi vengono utilizzati per denominare i virus che infettano i file eseguibili di determinate piattaforme (sistemi operativi): •Win — programmi a 16 bit per SO Windows 3.1; •Win95 — programmi a 32 bit per SO Windows 95/98/Me; •WinNT — programmi a 32 e 64 bit per SO Windows NT/2000/XP/Vista/7/8/8.1/10; •Win32 — programmi a 32 bit per diversi ambienti di SO Windows 95/98/Me ed SO Windows NT/2000/XP/Vista/7/8/8.1/10; •Win64 — programmi a 64 bit per SO Windows XP/Vista/7/8/8.1/10/11; •Win32.NET — programmi nel sistema operativo Microsoft .NET Framework; •OS2 — programmi per OS/2; •Unix — programmi per diversi sistemi operativi UNIX; •Linux — programmi per il sistema operativo Linux; •FreeBSD — programmi per il sistema operativo FreeBSD; •SunOS — programmi per il sistema operativo SunOS (Solaris); •Symbian — programmi per il sistema operativo Symbian OS (un sistema operativo mobile). Va notato che alcuni virus possono infettare programmi di un sistema, sebbene essi stessi operino in un altro. Virus che infettato i file di MS Office Gruppo di prefissi dei virus che infettano gli oggetti di MS Office (è indicato il linguaggio delle macro che vengono infettate da questo tipo di virus): •WM — Word Basic (MS Word 6.0-7.0); •XM — VBA3 (MS Excel 5.0-7.0); •W97M — VBA5 (MS Word 8.0), VBA6 (MS Word 9.0); •X97M — VBA5 (MS Excel 8.0), VBA6 (MS Excel 9.0); •A97M — database MS Access'97/2000; •PP97M — file di presentazione MS PowerPoint; •O97M — VBA5 (MS Office'97), VBA6 (MS Office'2000), il virus infetta i file di più di un componente di MS Office. Prefissi del linguaggio di sviluppo software Il gruppo di prefissi HLL è usato per denominare virus scritti in linguaggi di programmazione di alto livello, come per esempio C, C++, Pascal, Basic ecc. Sono usati modificatori che indicano l'algoritmo di funzionamento di base, in particolare: •HLLW — worm; •HLLM — worm di email; •HLLO — virus che sovrascrivono il codice del programma vittima; •HLLP — virus parassiti; •HLLC — virus satelliti. Inoltre, il gruppo di prefissi del linguaggio di sviluppo software può includere: •Java — virus per l'ambiente della macchina virtuale Java. Trojan Trojan — nome generico di vari programmi trojan. In molti casi i prefissi di questo gruppo sono usati insieme al prefisso Trojan. •PWS — trojan che ruba password; •Backdoor — trojan con la funzionalità RAT (Remote Administration Tool — utility di amministrazione in remoto); •IRC — trojan che utilizza per il suo funzionamento l'ambiente Internet Relayed Chat channels; •DownLoader — trojan che scarica da internet vari file malevoli all'insaputa dell'utente; •MulDrop — trojan che carica di nascosto vari virus che sono contenuti direttamente nel suo corpo; •Proxy — trojan che consente a un malintenzionato di navigare su internet in modo anonimo attraverso il computer infetto; •StartPage (sinonimo: Seeker) — trojan che sostituisce in modo non autorizzato l'indirizzo della pagina impostata nel browser come la homepage (pagina iniziale); •Click — trojan che organizza il reindirizzamento delle richieste fatte dall'utente al browser su uno specifico sito (o siti); •KeyLogger — trojan spione; segue e registra le battiture sulla tastiera; può inviare periodicamente i dati raccolti a un malintenzionato; •AVKill — arresta il funzionamento dei programmi di protezione antivirus, firewall ecc.; e inoltre, può rimuovere dal disco questi programmi; •KillFiles, KillDisk, DiskEraser — rimuovono uno specifico insieme di file (file in determinate directory, file in base a una maschera, tutti i file su un disco ecc.); •DelWin — rimuove i file necessari per il funzionamento del sistema operativo (Windows); •FormatC — formatta il disco C: (sinonimo: FormatAll — formatta alcuni o tutti i dischi); •KillMBR — danneggia o cancella il contenuto del settore di avvio principale (MBR); •KillCMOS — danneggia o cancella il contenuto del CMOS. Strumento per l'utilizzo delle vulnerabilità •Exploit — strumento che utilizza le vulnerabilità conosciute di un sistema operativo o di un'applicazione al fine di introdurre nel sistema un codice malevolo, un virus od eseguire azioni non autorizzate. Strumenti per gli attacchi di rete •Nuke — strumenti per gli attacchi di rete ad alcune vulnerabilità conosciute dei sistemi operativi al fine di causare un arresto di emergenza del sistema attaccato; •DDoS — programma agent studiato per effettuare gli attacchi di rete distribuiti di "negazione del servizio" (Distributed Denial Of Service); •FDOS (sinonimo: Flooder) — Flooder Denial Of Service — programmi per vari tipi di azioni malevole nella Rete che in un modo o nell'altro utilizzano l'idea di un attacco "negazione del servizio" (denial-of-service); a differenza del DDoS quando molti agent su più computer vengono utilizzati contemporaneamente contro lo stesso bersaglio, l'FDOS funziona come un programma separato "autosufficiente". Script virus Prefissi dei virus scritti in diversi linguaggi di scripting: •VBS — Visual Basic Script; •JS — Java Script; •Wscript — Visual Basic Script e/o Java Script; •Perl — Perl; •PHP — PHP; •BAT — linguaggio dell'interprete comandi del sistema operativo MS-DOS. Programmi malevoli Prefissi degli oggetti che sono altri programmi malevoli, anziché virus: •Adware — programma di visualizzazione di pubblicità; •Dialer — programma di effettuazione di chiamate del modem (reindirizza una chiamata del modem a un numero o una riscorsa a pagamento che sono impostati nel programma); •Joke — programma scherzo; •Program — programma potenzialmente pericoloso (riskware); •Tool — utility di hacking (hacktool). Varie Il prefisso generic è usato dopo un altro prefisso che indica l'ambiente o il metodo di sviluppo software per indicare un campione tipico di questo tipo di virus. Tale virus non possiede alcuni tratti distintivi (come per esempio stringhe di testo, effetti speciali ecc.) che avrebbero permesso di attribuirgli un nome specifico. In precedenza, per denominare i virus più semplici senza volto, veniva utilizzato il prefisso Silly con diversi modificatori. Suffissi I suffissi vengono utilizzati per denominare alcuni oggetti di virus specifici: •generator — l'oggetto non è un virus, ma è un generatore di virus; •based — il virus è stato sviluppato tramite il generatore di virus specificato o tramite la modifica del virus specificato. In entrambi i casi i nomi di questo tipo sono gentilizi e possono denotare centinaia e talvolta persino migliaia di virus; •dropper — indica che l'oggetto non è un virus, ma è l'installer del virus specificato. |