Приложение В. Принципы именования угроз

При обнаружении вредоносного кода компоненты Dr.Web сообщают пользователю средствами интерфейса и заносят в файл отчета имя угрозы, присвоенное ей специалистами компании «Доктор Веб». Эти имена строятся по определенным принципам и отражают конструкцию угрозы, классы уязвимых объектов, среду распространения (ОС и прикладные пакеты) и ряд других особенностей. Знание этих принципов может быть полезно для выявления программных и организационных уязвимостей защищаемой системы. Ниже дается краткое изложение принципов именования угроз; более полная и постоянно обновляемая версия описания доступна по адресу https://vms.drweb.com/classification/.

Эта классификация в ряде случаев условна, поскольку конкретные виды угроз могут обладать одновременно несколькими приведенными признаками. Кроме того, она не может считаться исчерпывающей, поскольку постоянно появляются новые виды угроз и, соответственно, идет работа по уточнению классификации.

Полное имя угрозы состоит из нескольких элементов, разделенных точками. При этом некоторые элементы, стоящие в начале полного имени (префиксы) и в конце (суффиксы), являются типовыми в соответствии с принятой классификацией.

Основные префиксы

Префиксы операционной системы

Нижеследующие префиксы применяются для называния вредоносных программ, инфицирующих исполняемые файлы определенных платформ (ОС):

•Win — 16-разрядные программы ОС Windows 3.1;

•Win95 — 32-разрядные программы ОС Windows 95/98/Me;

•WinNT — 32-разрядные и 64-разрядные программы ОС Windows NT/2000/XP/Vista/7/8/8.1/10;

•Win32 — 32-разрядные программы различных сред ОС Windows 95/98/Me и ОС Windows NT/2000/XP/Vista/7/8/8.1/10;

•Win64 — 64-разрядные программы ОС Windows XP/Vista/7/8/8.1/10/11;

•Win32.NET — программы в ОС Microsoft .NET Framework;

•OS2 — программы ОС OS/2;

•Unix — программы различных UNIX-систем;

•Linux — программы ОС Linux;

•FreeBSD — программы ОС FreeBSD;

•SunOS — программы ОС SunOS (Solaris);

•Symbian — программы ОС Symbian OS (мобильная ОС).

Заметим, что некоторые вредоносные программы могут заражать программы одной системы, хотя сами действуют в другой.

Вирусы, поражающие файлы MS Office

Группа префиксов вирусов, поражающих объекты MS Office (указан язык макросов, поражаемых данным типом вирусов):

•WM — Word Basic (MS Word 6.0-7.0);

•XM — VBA3 (MS Excel 5.0-7.0);

•W97M — VBA5 (MS Word 8.0), VBA6 (MS Word 9.0);

•X97M — VBA5 (MS Excel 8.0), VBA6 (MS Excel 9.0);

•A97M — базы данных MS Access'97/2000;

•PP97M — файлы-презентации MS PowerPoint;

•O97M — VBA5 (MS Office'97), VBA6 (MS Office'2000), вирус заражает файлы более чем одного компонента MS Office.

Префиксы языка разработки

Группа префиксов HLL применяется для именования угроз, написанных на языках программирования высокого уровня, таких как C, C++, Pascal, Basic и другие. Используются модификаторы, указывающие на базовый алгоритм функционирования, в частности:

•HLLW — черви;

•HLLM — почтовые черви;

•HLLO — вредоносные программы, перезаписывающие код программы жертвы;

•HLLP — паразитические вредоносные программы;

•HLLC — вредоносные программы-спутники.

К группе префиксов языка разработки можно также отнести:

•Java — угрозы для среды виртуальной машины Java.

Троянские программы

Trojan — общее название для различных Троянских программ (троянцев). Во многих случаях префиксы этой группы используются совместно с префиксом Trojan.

•PWS — троянец, ворующий пароли;

•Backdoor — троянец с RAT-функцией (Remote Administration Tool — утилита удаленного администрирования);

•IRC — троянец, использующий для своего функционирования среду Internet Relayed Chat channels;

•DownLoader — троянец, скрытно от пользователя загружающий различные вредоносные файлы из интернета;

•MulDrop — троянец, скрытно от пользователя загружающий различные вредоносные файлы, содержащиеся непосредственно в его теле;

•Proxy — троянец, позволяющий злоумышленнику работать в интернете анонимно через пораженный компьютер;

•StartPage (синоним: Seeker) — троянец, несанкционированно подменяющий адрес страницы, указанной браузеру в качестве домашней (стартовой);

•Click — троянец, организующий перенаправление пользовательских запросов браузеру на определенный сайт (или сайты);

•KeyLogger — троянец-шпион; отслеживает и записывает нажатия клавиш на клавиатуре; может периодически пересылать собранные данные злоумышленнику;

•AVKill — останавливает работу программ антивирусной защиты, сетевые экраны и т. п.; также может удалять эти программы с диска;

•KillFiles, KillDisk, DiskEraser — удаляют некоторое множество файлов (файлы в определенных каталогах, файлы по маске, все файлы на диске и т. п.);

•DelWin — удаляет необходимые для работы операционной системы (Windows) файлы;

•FormatC — форматирует диск C: (синоним: FormatAll — форматирует несколько или все диски);

•KillMBR — портит или стирает содержимое главного загрузочного сектора (MBR);

•KillCMOS — портит или стирает содержимое CMOS.

Средство использования уязвимостей

•Exploit — средство, использующее известные уязвимости некоторой операционной системы или приложения для внедрения в систему вредоносной программы или выполнения каких-либо несанкционированных действий.

Средства для сетевых атак

•Nuke — средства для сетевых атак на некоторые известные уязвимости операционных систем с целью вызвать аварийное завершение работы атакуемой системы;

•DDoS — программа-агент для проведения распределенных сетевых атак типа «отказ в обслуживании» (Distributed Denial Of Service);

•FDOS (синоним: Flooder) — Flooder Denial Of Service — программы для разного рода вредоносных действий в Сети, так или иначе использующие идею атаки типа «отказ в обслуживании»; в отличие от DDoS, где против одной цели одновременно используется множество агентов, работающих на разных компьютерах, FDOS-программа работает как отдельная, «самодостаточная» программа.

Скрипт-угрозы

Префиксы угроз, написанных на различных языках сценариев:

•VBS — Visual Basic Script;

•JS — Java Script;

•Wscript — Visual Basic Script и/или Java Script;

•Perl — Perl;

•PHP — PHP;

•BAT — язык командного интерпретатора ОС MS-DOS.

Вредоносные программы

Префиксы объектов, являющихся не вирусами, а иными вредоносными программами:

•Adware — рекламная программа;

•Dialer — программа дозвона (перенаправляющая звонок модема на заранее запрограммированный платный номер или платный ресурс);

•Joke — программа-шутка;

•Program — потенциально опасная программа (riskware);

•Tool — программа-инструмент взлома (hacktool).

Разное

Префикс generic используется после другого префикса, обозначающего среду или метод разработки, для обозначения типичного представителя этого типа угроз. Такая угроза не обладает никакими характерными признаками (как текстовые строки, специальные эффекты и т. д.), которые позволили бы присвоить ей какое-то особенное название.

Ранее для именования простейших безликих вирусов использовался префикс Silly с различными модификаторами.

Суффиксы

Суффиксы используются для именования некоторых специфических вредоносных объектов:

•generator — объект является не вирусом, а вирусным генератором;

•based — вредоносный объект разработан с помощью указанного генератора или путем видоизменения указанной угрозы. В обоих случаях имена этого типа являются родовыми и могут обозначать сотни и иногда даже тысячи угроз;

•dropper — указывает, что объект является не вирусом, а контейнером указанного вируса.