Sunteți pe pagina 1din 4

Interpretar nomes de vírus (ou de qualquer tipo de código malicioso) é

uma tarefa simples depois que você se acostuma. Entretanto, algumas coisas
não são tão óbvias a princípio e por isso esse artigo foi criado: para que você
comece a entender o funcionamento básico de um código malicioso apenas
vendo o nome dele.

Por exemplo, você saberá que P2P-Worm.Win32.Tibick.f é a sexta


variante de um worm que utiliza programas como o KaZaA e eMule para se
espalhar, enquanto Trojan.Win32.Agent.cp é um trojan que pode ser evitado
com um firewall.

Antes de começar, é necessário que você saiba que, enquanto os vírus


biológicos possuem um nome padronizado em Latim, tal padronização não
existe para os vírus de computador. Cada empresa de antivírus pode dar
nomes diferentes para malwares iguais. Existem exceções: quando algum vírus
se torna uma epidemia (como o MyDoom), as empresas entram em acordo e
renomeiam o código malicioso. O MyDoom também foi chamado de Novarg e
SCO (por fazer um ataque de negação de serviço no site da SCO).

Essa ausência de padrões causará uma enorme dor de cabeça. Para


os worms e trojans mais comuns você até pode conseguir todos os nomes
diferentes, mas para alguns pode ficar bastante complicado. Se você sabe
inglês, você poderá ler a documentação da empresa de antivírus sobre os
nomes e poderá entender mais facilmente.
Partes do Nome de um Malware
Tipo (ou Prefixo)

Antes de tudo, é importante que você saiba que nem todo vírus ou
código malicios infecta outros arquivos. Atualmente, os vírus como eram
conhecidos (que infectavam todos os arquivos no disco) estão realmente raros,
embora alguns deles ainda possam ser encontrados.

Os valores para o Tipo variam muito de empresa para empresa.


Algumas empresas utilizam tipos extremamente detalhados, outras usam tipos
mais gerais. Para entender os tipos é necessário que você saiba que:

* Um Droppper é um trojan que apenas instala outros trojans no


sistema. Em um dropper, o código do trojan a ser instalado está dentro do
trojan que vai instalá-lo. Abreviando como “DR” por algumas empresas.
* Um Downloader é igual um Dropper, mas o trojan que vai ser
instalado é baixado da Internet. Abreviando como “DLDR” por algumas
empresas.
* Um Proxy (na linguagem de segurança em worms e trojans) é um
backdoor que permite o envio de e-mails camuflados
* IRC se refere ao sistema de bate-papo Internet Relay Chat
* IM são programas de Mensagem Instantânea
* P2P são programas como KaZaA e eMule

Dessa forma, um Trojan-Proxy é um trojan que possui um backdoor


para envio de e-mails, enquanto um P2P-Worm é um worm que usa o KaZaA e
o eMule para se espalhar.

É importante que você veja, no nosso Dicionário, a definição dos


seguintes termos:
* Adware (abreviado: ADW)
* Dialer (abreviado: Dial)
* Exploit
* Backdoor
* Joke
* Macro (ver abaixo)
* Trojan (abreviado: Troj)
* Worm
* Spyware
Você deve entender porque cada um dos termos acima, pois esses são
os Tipos principais usados pelas companhias de antivírus.
Devido a falta de um padrão, você deve tentar tentar raciocionar o que
cada Tipo significa. Sabendo o que é um Trojan e um Spyware, por exemplo,
você poderá saber que um Trojan-Spy é m trojan com funcionalidades de
Spyware e que um Trojan-Downloader é um código malicios que vai baixar
trojans.
Tipos Adicionais

Alguns tipos que não estão no dicionário e que você deve saber.
Win32, W32 - Usados para identificar algum código malicioso que
infecta arquivos em versões 32 bit do Windows. Win64 e Win64 - são usados
para Windows 64, W95 e Win95 para Windows 95; WinNT e WNT para
Windows NT, etc. Algumas empresas utilizam Win32/W32 apenas como
modificar de plataforma, ou seja, não necessariamente infectam arquivos. A
Symantec utiliza para identificar infectores de arquivo, mas é anulado se o
malware terminar com “Worm” ou @mm.
VBS - Define trojans ou vírus criados em Visual Basic Script.
PWS ou PWSTEAL - Malwares feitos para roubar senhas
JS ou HTML - Define trojans ou vírus criados em Javascript ou HTML.
BAT - Define trojans escritos na forma de arquivos batch do MS-DOS
(.bat).
HLLC - High Level Language Companion. Define um vírus programado
em uma linguagem alto nível e que “acompanha” os arquivos originais. Ao
invés de infectar o arquivo, os companions renomeiam ele e escondem do
usuário e depois copiam os vírus onde estava o arquivo. Assim o usuário vai
executar o vírus ao invés do arquivo original. Quando o usuário copiar o
arquivo em disquetes ou gravar em CD, o vírus também será salvo ao invés do
arquivo original.
HLLW - Define um worm que foi feito em uma linguagem de alto nível.
Todos os worms atuais são programados em uma linguagem de alto nível,
então este termo é um pouco raro de ser visto, já que as companhias não
utilizam esse termo por ser pouco conhecido.
HLLO - Define um vírus irreparável que vai sobreescrever os arquivos
no disco com seu código, tornando os arquivos impossíveis de recuperar. Se
algum antivírus detectar um HLLO no seu computador, faça backup de todos
os dados importantes antes que seja tarde.
HLLP - High Level Languange Parasite. Um vírus comum programado
em uma linguagem de alto nível como Pascal ou C++.
HackTool - Tipo usado para definir ferramentas usadas para
comprometer sistemas.
Tipos Específicos

Esses são alguns tipos usados pelas principais companhias de


antivírus. Listar todos é quase impossível, serão listados apenas alguns mais
comuns:
Ablank Usado pela Sophos para definir os diversos trojans da família
do StartPage. Muitas empresas apenas colocam Variantes na família do
Startpage.
PE - Usado pela Trend Micro para definir Vírus (ou seja, um código
malicioso capaz de infectar outros arquivos)
I-Worm, P2P-Worm,IRC-Worm - Worms que usam a rede, P2P e
canais de IRC, respectivamente. Usado pela Kaspersky e compatíveis.
Vírus do Tipo Macro:

Para vírus do tipo Macro (que infectam arquivos criados através do


Microsoft Office), é um pouco mais complicado. Empresas diferentes usam
nomes completamente diferentes. Você precisa lembrar sempre das iniciais
para facilitar:

* M = Macro
* MS = Microsoft
* O = Office
* W = Word
* A = Access
* X = Excel
A2KM Vírus Macro de Access 2000
X97M, XM97, MSExcel Vírus de Macro do Excel 97
OM Vírus de macro de Office (sem versões específica)
O97 Vírus Macro de Office 97.

Seguindo esse raciocício, você saberá que W97 ou W97M é um vírus


de macro para Word, etc.

Importante: Note que esses são tipos de vírus, não nomes de família.

S-ar putea să vă placă și