GRUNDLEGENDES ZU VIRUSNAMEN

открываю эту тему по просьбе
пользователя Juliaaa.

Networks Associates Technology, Inc.

Unsere Antivirussoftware hält sich
normalerweise an die branchenweiten
Benennungskonventionen zum Identifizieren von
Viren, die damit entdeckt und gesäubert werden
können. Manche Virusnamen weichen von den
strikten Branchenstandards ab.

Der erste Virus mit bestimmten Merkmalen, die
ihn als eindeutig neue Einheit kennzeichnen,
erhält einen "Familiennamen". Virenforscher
leiten den Familiennamen aus einer
identifizierenden Eigenart oder Schreibweise,
beispielsweise einer Textzeichenfolge oder
einer Auswirkung der Nutzlast, im Virus ab.

Der Familienname kann auch eine numerische
Zeichenfolge enthalten, die die Byte-Größe des
Virus angibt. Forscher verwenden diesen Namen
als verkürzte Schreibweise, mit der sich eng
verwandte Virusvarianten unterscheiden lassen.

Die Namen für Varianten innerhalb einer
Virenfamilie bestehen aus dem Familiennamen und
einem Suffix - beispielsweise "BadVirus.a". Das
Suffix wird in alphabetischer Reihenfolge
verwendet, bis "z" erreicht ist. Es beginnt
dann wieder bei aa und wird bis az fortgesetzt.
Weitere Varianten erhalten die Suffixe "ba" bis
"bz" usw., bis "zz" erreicht ist. Wenn dann
eine weitere Variante auftritt, erhält sie das
Suffix "aaa".

Angesichts des Auftretens immer neuer
Virusarten wurden die Benennungskonventionen
der Branche auf weitere Informationen
erweitert. Einige Namen enthalten
beispielsweise Teile, die die Plattform
identifizieren, auf der der Virus ausgeführt
werden kann.

Die Virenschutzanbieter können Virusnamen durch
ein Präfix, ein Infix und ein Suffix ergänzen.

PRÄFIX

Das Präfix gibt den Dateityp an, den der Virus
infiziert, oder die Plattform, auf der
potentiell schädliche Software ausgeführt
werden kann. Viren, die ausführbare DOS-Dateien
infizieren, erhalten ein Präfix. Unsere
Benennungskonvention umfasst die folgenden
Präfixe:

A97M/ Makrovirus, der Microsoft
Access 97-Dateien infiziert.

APM/ Makrovirus oder Trojaner-Programm,
der bzw. das Ami Pro-Dokumente und
-Vorlagendateien infiziert.

Bat/ Stapeldateivirus oder Trojaner-
Programm. Diese Viren werden
normalerweise als Stapel- oder
Skriptdateien ausgeführt, die sich
auf ein bestimmtes Programm
auswirken, das die enthaltenen
Skript- oder Stapelbefehle
interpretiert. Sie lassen sich sehr
leicht portieren und können sich
auf praktisch jede Plattform
auswirken, die Stapel- oder
Skriptdateien ausführen kann. Die
Dateien selbst tragen oft die
Erweiterung BAT.

CSC/ Corel Script-Virus oder Trojaner-
Programm, der bzw. das Corel Draw-
Dokumentdateien, -Vorlagendateien
und -skripts infiziert.

IRC/ IRC-Skriptvirus (Internet Relay
Chat). Dieser Virustyp kann ältere
Versionen der mIRC-Client-Software
zum Verteilen eines Virus oder
einer Nutzlast verwenden.

JS/ Skriptvirus oder Trojaner-Programm,
der bzw. das in JavaScript-Sprache
geschrieben ist.

JV/ Potentiell schädliche Java-
Anwendung oder potentiell
schädliches Java-Applet.

Linux/Virus oder Trojaner-Programm, der
bzw. das im Dateiformat ELF für
Linux kompiliert wurde.

LWP/ Potentiell schädliche Software für
Lotus WordPro.

MacHC/Virus oder Trojaner-Programm für
die Apple Macintosh HyperCard-
Skriptsprache.

MacOS/Virus oder Trojaner-Programm für
Apple Macintosh OS, Versionen 6 -
9.

MSIL/ Anwendung, die mit Hilfe der
Microsoft Intermediate Language-
Struktur, die auch als .NET
bezeichnet wird, geschrieben wurde.

P98M/ Makrovirus oder Trojaner-Programm,
der bzw. das Microsoft Project-
Dokumente und -Vorlagendateien
infiziert.

PalmOS/ Virus oder Trojaner-Programm für
den Palm Pilot.

PDF/ Dateiinfizierendes Programm für
Adobe PDF-Dateien.

Perl/ Skriptvirus oder Trojaner-Programm,
der bzw. das in der Sprache Perl
geschrieben ist.

PHP/ Skriptvirus oder Trojaner-Programm,
der bzw. das in der Sprache PHP
geschrieben ist.

PP97M/Makrovirus. Infiziert Microsoft
PowerPoint 97-Dateien.

SunOS/Potentiell schädliche Software für
Sun Solaris.

SWF/ Potentiell schädliche Software für
Shockwave.

Unix/ Programm oder Shell-Skript für eine
UNIX-Version.

V5M/ Makro- oder Skriptvirus oder
Trojaner-Programm, der bzw. das
Makros oder Skripts für Visio VBA
(Visual Basic für Applikationen)
infiziert.

VBS/ Skriptvirus oder Trojaner-Programm,
der bzw. das in der Sprache Visual
Basic Script geschrieben ist.

W16/ Dateiinfizierender Virus, der in
Umgebungen mit 16-Bit-Versionen von
Microsoft Windows (Windows 3.1x)
ausgeführt wird.

W2K/ Potentiell schädliche Software für
Umgebungen mit 32-Bit-Versionen von
Microsoft Windows, d. h.
Windows NT, 2000 oder XP.

W32/ Dateiinfizierender Virus oder
Bootsektorvirus, der in Umgebungen
mit 32-Bit-Versionen von Microsoft
Windows (Windows 95, Windows 98
oder Windows NT) ausgeführt wird.

W95/ Dateiinfizierender Virus, der in
Umgebungen mit Microsoft
Windows 95, Windows 98 und
Windows ME ausgeführt wird.

W97M/ Makrovirus, der Microsoft Word 97-
Dateien infiziert.

WHLP/ Potentiell schädliche Software für
Umgebungen mit 32-Bit-Versionen von
Microsoft Windows, die auf Windows-
Hilfedateien abzielt.

WM/ Makrovirus, der Microsoft Word 95-
Dateien infiziert.

X97M/ Makrovirus, der Microsoft Excel 97-
Dateien infiziert.

XF/ Makrovirus, der Microsoft Excel 95
oder 97 über Excel-Formeln
infiziert.

XM/ Makrovirus, der Microsoft Excel 95-
Dateien infiziert.

PRÄFIX FÜR TROJANER-KLASSEN

Ein Name wie "BackDoor-" bezeichnet potentiell
schädliche Software, die zu einer Klasse
ähnlicher Trojaner-Programme gehört. Auf den
Klassennamen folgen zusätzliche Zeichen, die
eine Familie (beispielsweise "BackDoor-JZ")
oder einen Namen (beispielsweise "BackDoor-
Sub7") bezeichnen.

AdClicker-
Greift wiederholt auf durch Werbung
finanzierte Websites zu.

Adware- Installiert Werbesoftware, ohne
nach einer Erlaubnis zu fragen.

BackDoor-
Ermöglicht Remote-Zugriff oder -
Steuerung über das Internet oder
Netzwerk.

Dialer-
Wählt eine Telefonnummer, ohne nach
einer Erlaubnis zu fragen.

DDoS- Fungiert als Distributed-Denial-of-
Service-Komponente.

Del- Löscht Dateien.

Downloader-
Lädt Software aus dem Internet
herunter, normalerweise, um
Backdoor-Programme, Kennwörter
stehlende Programme und manchmal
Viren abzulegen.

Exploit- Nutzt eine Schwachstelle oder einen
Softwaredefekt.

FDoS- Bezeichnet eine Flooding-Denial-of-
Service-Komponente.

KeyLog-
Protokolliert Tastatureingaben, die
sofort oder später zum Angreifer
übertragen werden können.

Kit- Bezeichnet ein Programm, das zum
Erstellen eines Virus oder
Trojaner-Programms gedacht ist.

MultiDropper-
Legt mehrere Trojaner-Programme
oder Viren ab (häufig mehrere
verschiedene "Backdoor"-Programme).

Nuke- Verwendet Defekte in der Software
eines Remote-Computers, um diesen
außer Betrieb zu setzen.

ProcKill-
Beendet die Prozesse von Antivirus-
und Sicherheitsprodukten. Löscht
möglicherweise auch zu diesen
Anwendungen gehörende Dateien.

PWS- Stiehlt ein Kennwort.

Reboot- Startet den Computer neu.

Reg- Ändert die Registrierung ohne
Rückfragen auf ungewünschte Weise.
Setzt beispielsweise die
Sicherheitseinstellungen herunter
oder erstellt anormale
Verknüpfungen oder Gruppen.

Spam- Fungiert als Spam-Tool.

Spyware- Überwacht Internetgewohnheiten oder
andere Verhaltensweisen und
versendet Informationen, häufig im
Zusammenhang mit unerwünschter
Werbung.

Uploader-
Sendet Dateien oder andere Daten
vom Computer.

Vtool-Bezeichnet ein von Virusautoren
oder Hackern zum Entwickeln von
Software verwendetes Programm.

Zap- Löscht den Inhalt der Festplatte
ganz oder teilweise.

INFIX

Diese Bezeichnungen erscheinen normalerweise in
der Mitte eines Virusnamens. Diese von den
Branchenkonventionen abweichenden Bezeichnungen
werden von AVERT zugewiesen.

.cmp. Companion-Datei, die der Virus zu
einer vorhandenen ausführbaren
Datei hinzufügt. Unsere
Antivirussoftware löscht die
Companion-Datei, um spätere
Infektionen zu verhindern.

.mp. Älterer mehrteiliger Virus für DOS.

.ow. Überschreibender Virus.
Identifiziert einen Virus, der
Daten in einer Datei überschreibt
und die Datei dadurch irreparabel
beschädigt. Die Datei muss gelöscht
werden.

SUFFIX

Diese Bezeichnungen erscheinen normalerweise
als letzter Teil eines Virusnamens. Ein
Virusname kann mehrere Suffixe haben. Eines
kann beispielsweise eine Variante bezeichnen,
während andere zusätzliche Informationen
liefern.

@M Langsames Mailprogramm. Dieser
Virus verbreitet sich mit Hilfe
eines E-Mail-Systems. Normalerweise
beantwortet er eine eingehende
Nachricht ein Mal oder hängt sich
an eine ausgehende Nachricht an
oder sendet eine Nachricht an eine
einzige E-Mail-Adresse.

@MM Verteilung als Mass-Mailing. Der
Virus verbreitet sich
möglicherweise mit Hilfe von
Standardtechniken, er verwendet
hierzu jedoch auch ein E-Mail-
System.

.a - .zzz
Virusvarianten.

Gemäß der CARO-Benennungskonvention (Computer
Anti-virus Research Organization) kann den
anbieterspezifischen Suffixen das Zeichen "!"
vorangestellt werden. Unsere Software verwendet
die folgenden Suffixe:

apd Angehängter Virus. Ein Virus, der
seinen Code an die infizierte Datei
anhängt, jedoch keine korrekte
Replikation ermöglicht.

bat Softwarekomponente in der BAT-
Sprache.

cav Cavity-Virus. Bezeichnet einen
Virus, der sich selbst in "Löcher"
(beispielsweise Bereiche, die nur
aus Nullen bestehen) einer
Programmdatei kopiert.

cfg Konfigurationskomponente eines
Internet-Trojaner-Programms (häufig
eines "BackDoor-"Programms).

cli Clientseitige Komponente eines
Internet-Trojaner-Programms (häufig
eines "BackDoor-"Programms).

dam Beschädigte Datei. Eine durch eine
Infektion beschädigte Datei.

demo Ein Programm, das potentiell
schädliche Aktionen
veranschaulicht, beispielsweise die
Funktionsweise eines Exploits.

dr Dropper-Datei. Diese Datei legt den
Virus im Wirtsprogramm ab.

gen Generische Entdeckung. Die
integrierten Routinen unserer
Software entdecken diesen Virus
ohne die Verwendung spezieller
Codezeichenfolgen.

ini Ein mIRC- oder pIRCH-Skript als
Komponente eines anderen Virus.

intd "Beabsichtigter" Virus. Dieser
Virus weist die meisten üblichen
Virusmerkmale auf, kann sich jedoch
nicht korrekt replizieren.

irc IRC-Komponente potentiell
schädlicher Software.

js Potentiell schädliche
Softwarekomponente in JavaScript.

kit Virus oder Trojaner-Programm, der
bzw. das mit einem "Virusbaukasten"
erstellt wurde.

p2p Potentiell schädliche Software, die
Peer-zu-Peer-Kommunikation
verwendet. Zum Beispiel Gnutella
und Kazaa.

sfx Selbstextrahierendes
Installationsdienstprogramm für
Trojaner-Programme.

src Virenquelltext. Kann sich
normalerweise weder replizieren
noch Dateien infizieren, aber
manche Viren ablegenden Programme
fügen diesen Code im Rahmen des
Infektionszyklus zu Dateien hinzu.
Unsere Produkte kennzeichnen
Dateien mit zusätzlichem Code
dieser Art zum Löschen.

sub Ersetzungsvirus. Er ersetzt die
Wirtsdatei durch sich selbst, so
dass alle infizierten Wirte gleich
groß sind und einen reinen Virus
darstellen. (Es handelt sich also
um eine Unterklasse der
überschreibenden Viren.)

svr Serverseitige Komponente eines
Internet-Trojaner-Programms (häufig
eines "BackDoor-"Programms).

vbs Potentiell schädliche
Softwarekomponente, die in der
Sprache Visual Basic Script
geschrieben ist.

worm Ein nicht parasitärer Virus, der
sich selbst kopiert, oder ein
Virus, der sich über ein Netzwerk
verbreitet, indem er sich auf
Remote-Computer kopiert oder sich
selbst mit Hilfe aller möglichen
Dateiübertragungsmethoden versendet
(beispielsweise Remote-Freigaben,
Peer-to-Peer-Netzwerke, Instant
Messaging, IRC-Dateiübertragungen,
FTP und SMTP).