СОФТ

Классификация вредоносных программ

Установите комплекс сетевой защиты PROtector и забудьте о возможности установки злоумышленниками на Ваш ПК любых программ, ворующих Вашу конфиденциальную информацию, в том числе и пароли. Комплекс создан российскими специалистами в области компьютерной безопасности, недорог по цене и подходит как для профессионалов, так и для новичков. Принцип – установил и забыл: программа сама настроит свои параметры защиты для Вашего компьютера самым оптимальным образом.

 Классификация компьютерных вирусов
(объяснение некоторых суффиксов, которые чаще всего используются в названиях)

Различия по среде обитания
• Win/Win16/W16/NE - вредоносное ПО, поражающее 16-битные исполняемые программы (NE) в операционной системе Windows (New Executable - формат исполняемых файлов Windows 3.x). Некоторые из этих вирусов могут работать не только в среде Windows 3.x, но также и в Windows 95/98/NT.
• Win9x/Win95/W95/Win98/W98 - вредоносное ПО, поражающее 32-битные исполняемые программы (PE и LE (VxD)) операционной системы Windows и действующее только в среде Windows 95/98.
• WinNT/WNT/NT - вредоносное ПО, поражающее 32-битные исполняемые программы (PE) операционной системы Windows и действующее только в среде Windows NT. • Win2K/W2K - вредоносное ПО, поражающее 32-битные исполняемые программы (PE) операционной системы Windows и предназначенное для среды Windows 2000.

• Win32/W32/PE - вредоносное ПО, поражающее 32-битные исполняемые программы (PE) операционной системы Windows и действующее в среде Windows 95/98/NT.
• DOS - вредоносные программы, предназначенные для работы в среде MS-DOS (Microsoft Disk Operating System).
• OS2 - вредоносные программы, поражающие исполняемые программы (LX) операционной системы OS/2 и действующие только в среде OS/2.
• UNIX/ELF - вредоносные программы, поражающие исполняемые программы UNIX-подобных систем (ELF) и действующие только в среде этих систем.
• Linux - вредоносные программы, поражающие исполняемые программы операционных систем Linux и действующие только в среде Linux. • FreeBSD/BSD - вредоносные программы, поражающие исполняемые программы операционных системFreeBSD и действующие только в среде FreeBSD.
• SunOS/Solaris - вредоносные программы, поражающие исполняемые программы операционных системSolaris и действующие только в среде Solaris.
• Java - вредоносные программы, написанные на языке программирования Java.
• SymbOS - вредоносные программы, поражающие мобильные устройства, работающие под управлением операционной системы Symbian.
• J2ME - вредоносные программы, поражающие мобильные устройства, использующие Java ME (ранее: Java 2 Micro Edition).
• WinCE - вредоносные программы, предназначенные для работы в среде Windows CE.
• MSIL - вредоносные программы, предназначенные для работы в среде Windows Mobile, либо заражающие файлы .NET-приложений (Microsoft Intermediate Language).


Вирусы Virus (классический вирус) - может заражать другие файлы в системе путем дописывания в них своего кода. Для зараженных файлов требуется лечение.
• HLL (High Level Language) - вирусы, написанные на языках программирования высокого уровня (таких как: C, C++, Pascal, Delphi, Basic и пр.).
• HLLC (High Level Language Companion) - вирус-компаньон, написанный на языке программирования высокого уровня. Companion (вирусы-компаньоны) - вирусы, не изменяющие содержимое файлов, но создающие на месте заражаемой программы свою копию (оригинальный файл программы при этом просто переименовывается или перемещается). При запуске сначала выполняется код вируса, который затем передаёт управление оригинальной программе.

• HLLO (High Level Language Overwriting) - перезаписывающий вирус, написанный на языке программирования высокого уровня. Overwriting (перезаписывающие вирусы) - вирусы, перезаписывающие содержимое файлов, не изменяя при этом их названия. Вследствие чего исходная программа уничтожается.
• HLLP (High Level Language Parasitic) - паразитический вирус, написанный на языке программирования высокого уровня. Parasitic (паразитические вирусы) - файловые вирусы, изменяющие содержимое файлов, оставляя при этом сами файлы работоспособными (или частично работоспособными)

• HLLW (High Level Language Worm) - червь, написанный на языке программирования высокого уровня.
• HLLM (High Level Language MassMailing Worm) - черви массовой рассылки, написанные на языке программирования высокого уровня.

Скрипт-вирусы Script (скрипт-вирус) - вирусы, написанные на языках Visual Basic Script, Java Script, BAT и др. Скрипты могут располагаться как в отдельных файлах, так и встраиваться в HTML-документ и в таком случае интерпретироваться браузером (причем не только с удаленного сервера, но и с локального диска).
• VBS - вирусы, написанные на языке Visual Basic Script (VBScript).
• JS - вирусы, написанные на языке Java Script (JScript).
• BAT - вирусы, написанные на языке командного интерпретатора MS-DOS (на BAT-языке).
• PIF - вирус в формате PIF (Program Information File).
• WScript - черви, как правило, встроенные в HTML-файлы.
• PHP - скрипт-вирусы, написанные на языке PHP, либо вирусы, заражающие PHP-файлы (PHP: Hypertext Preprocessor).
• HTML - вирусная программа, реализованная в виде HTML-страницы.

• Perl - вредоносный сценарий, написанный на языке Perl (Practical Extraction and Report Language).

 Троянские программы Trojan/Troj/TrojWare/Trj/TR (троянская программа/троян) - общее название для различных вредоносных программ, не имеющих средств для самораспространения (нарицательное словосочетание со значением "дар врагу с целью его погубить"). Также одно из основных отличий троянской программы от вируса заключаеться в том, что обычный вирус после своего рождения больше не имеет никакой связи с создателем, а троян, как правило, предназначен для дальнейшего взаимодействия с тем, кто его запустил.
• Backdoor (бэкдор) - троянские программы с функциями скрытого удаленного управления (администрирования) зараженным компьютером.
• PWS (Password Stealing Ware) - троянские программы, ворующие пароли.
• Trojan.AOL - троянские программы, ворующие пароли доступа к сети AOL (бывшая America Online). Выделены в особую группу по причине своей многочисленности.

• Clicker (кликеры) - троянские программы, открывающие различные URL без ведома пользователя. Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны "стандартные" адреса каких-либо интернет-ресурсов.
• Downloader - троянские программы, предназначенные для несанкционированной загрузки и установки других вредоносных программ.
• Dropper - троянские программы, предназначенные для скрытной инсталляции других вредоносных программ.
• Trojan.Proxy - троянские программы, предназначенные для запуска прокси-сервера на зараженном компьютере без ведома пользователя. Обычно используются для рассылки спама.
• Trojan.Spy - троянские программы, предназначенные для скрытого шпионажа за действиями пользователя и отправки собранных данных злоумышленнику.
• Spyware - общее название для шпионского программного обеспечения, скрытно собирающего различную информацию о пользователе компьютера и затем отправляющего её своему автору.
• StartPage/StartPa - троянские программы, изменяющие без ведома пользователя стартовую страницу в настройках веб-браузера.

• KeyLogger/Keylog (клавиатурный шпион) - шпионские программы, предназначенные для скрытого мониторинга и записи информации, вводимой с клавиатуры.
• Dialer (дозвонщики) - троянские программы, предназначенные для установки модемной связи с заданными серверами.
• Notifier - троянские программы, основная функция которых заключается в оповещении "хозяина" об успешной атаке.
• ArcBomb (архивные бомбы) - архивы, специально сконструированные так, чтобы при попытке их разархивировать - работоспособность компьютера была бы нарушена.
• Trojan.SMS - троянские программы, поражающие мобильные телефоны.


Черви Worm (червь) - паразитическая программа, обладающая механизмом саморазмножения (т.е. способная размножать свои копии), но не поражающая другие компьютерные программы.
• Email-Worm (почтовые черви) - черви, использующие для своего распространения электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо веб-сервере.
• IM-Worm (черви, использующие интернет-пейджеры) - черви, использующие для своего распространения рассылку на обнаруженные контакты из контакт-листа интернет-пейджера (программы: ICQ, MSN Messenger, Yahoo Messenger, Google Talk, AOL Instant Messenger, Trillian, Miranda, QIP и др.) сообщений, содержащих ссылку на свой файл.
• IRC-Worm (черви в IRC-каналах) - черви, которые распространяются, используя среду IRC каналов (Internet Relayed Chat channels).
• Net-Worm (сетевые черви) - черви, использующие для своего распространения уязвимости в операционных системах и прикладном ПО, или распространяющиеся с помощью копирования себя на сетевые ресурсы.
• P2P-Worm (черви для файлообменных сетей) - черви, использующие для своего распространения P2P-сети (распространяющиеся с помощью программ: eMule, eDonkey, Kazzaa, DC++, BitTorrent, Gnutella, FastTrack и др.) . Макро-вирусы Macro (вирусы для MS Office) - эти вирусы используют особенности форматов файлов и встроенные макро-языки приложений MS Office и заражают файлы документов. • WordMacro/MSWord/Word/WM - макро-вирусы, поражающие документы и шаблоны MS Word. • Word97/W97M - макро-вирусы, поражающие документы MS Word 8.0-9.0 (MS Office'97/2000). • ExcelMacro/MSExcel/Excel/XM - макро-вирусы, поражающие документы MS Excel. • X97M - макро-вирусы, поражающие документы MS Excel 8.0-9.0 (MS Office'97/2000). • MSAccess - макро-вирусы, поражающие базы данных Microsoft Access.
• A97M - макро-вирусы, поражающие базы данных MS Access'97/2000.
• MSPPoint/PPoint - макро-вирусы, поражающие файлы-презентации MS PowerPoint.
• P97M/PP97M - макро-вирусы, поражающие файлы-презентации MS PowerPoint'97/2000.
• MSVisio/Visio - макро-вирусы, поражающие документы и шаблоны Visio (система построения диаграмм).
• MSOffice/O97M - мультиплатформенные макро-вирусы, поражающие одновременно несколько приложений MS Office.

• WinHLP/WHLP/HLP - вирусы, заражающие Windows HLP-файлы (файлы помощи). Not-a-virus Программы, по сути не являющиеся вирусам, но по тем или иным причинам занесенные в антивирусные базы.

• Adware - общее название для программного обеспечения, принудительно показывающего рекламу.


• Bad-Joke - злые шутки (например, программы, пугающие пользователя сообщениями о форматировании диска, хотя никакого форматирования на самом деле не происходит).
• Hoax (вирусный мистификатор) - программы, не причиняющие компьютеру какого-либо вреда, но вводящие пользователя в заблуждение (например, выводящие сообщения о несуществующей опасности или детектирующие вирусы в незаражененых файлах).
• HackTool - хакерские утилиты.
• Riskware - легальные программы, которые, тем не менее, в руках злоумышленника способны причинить вред пользователю и его данным.
• PSWTool - программа, предназначенная для получения и восстановления различных паролей.
• Client-IRC - IRC-клиент, добавленный в некоторые наборы антивирусных баз по причине того, что функции этой программы могут использоваться в злоумышленных целях (для создания бэкдоров).
• Sniffer/Sniff (снифер) - программа, предназначенная для перехвата и последующего анализа сетевого трафика.
• SpamTool - программа, предназначенная для рассылки спама (как правило, превращающая зараженный компьютер в рассылочную спам-машину).
• Flooder/Flood/FDoS - "замусоривание" сети (например, бесполезными сообщениями; от англ. "flood" - наводнение, потоп).
• Email-Flooder/MailSpam - программа, позволяющая "наводнить" заданный адрес электронной почты различными письмами.
• IM-Flooder - программа, позволяющая "наводнить" заданный номер IM-мессенджера (например, ICQ) различными сообщениями.
• SMS-Flooder - программа, позволяющая "наводнить" заданный номер мобильного телефона SMS-сообщениями.

• VirTool - утилиты, предназначенные для облегчения написания компьютерных вирусов и для их изучения в хакерских целях.
• DoS/DDoS - вредоносная программа, предназначенная для проведения атаки типа "Denial of Service" ("Отказ в обслуживании") на удаленный сервер.
• Nuker (фатальные сетевые атаки) - утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу (сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении).
• Constructor/Generator - конструкторы вирусов и троянских программ, предназначенные для изготовления и генерации новых вирусов и вредоносных программ.
• PolyEngine (полиморфные генераторы) - главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика.
• FileCryptor, PolyCryptor - хакерские утилиты, использующиеся для шифрования других вредоносных программ с целью скрытия их содержимого от антивирусной проверки.
• EICAR (симулятор вируса) - тестовый файл, который на самом деле вирусом не является, но опредедяется антивирусными программами, как якобы вирус (EICAR-Test-File). Программа была специально разработана для того, чтобы пользователь, не подвергая свой компьютер опасности, мог посмотреть, как его антивирус будет сигнализировать в случае обнаружения вируса.

 Другое

• Rootkit - основная функция заключается в сокрытии присутствия в системе заданных объектов (процессов, файлов, разделов реестра, открытых портов и т.д.).
• Malware - общее название для вредоносного программного обеспечения.
• Ransomware - вредоносная программа, работающая как вымогатель.
• VirWare - общее название для саморазмножающихся вредоносных программ (вирусы и черви).
• Exploit (эксплойт) - общий термин для обозначения фрагмента программного кода, который использует уязвимости в операционных системах и прикладном ПО, существующих на атакуемом компьютере.
• Based/Generic/gen/Modification - этот суффикс означает, что вирус был сгенерирован с помощью "вирусного конструктора" или что вирус был создан как модификация какого-то 'basic' (исходного) вирусного кода.
• Polymorphic (полиморфные вирусы) - или вирусы с самомодифицирующимися расшифровщиками - вирусы, использующие помимо шифрования кода специальную процедуру расшифровки, изменяющую саму себя в каждом новом экземпляре вируса, что ведет к отсутствию у него байтовых сигнатур. Расшифровщик не является постоянным - он уникален для каждого экземпляра вируса.
• MtE - полиморфные вирусы, созданные с помощью генератора полиморфизма MtE (Mutant Engine). Такой генератор представляет собой специальный алгоритм, который отвечает за функции шифровки/расшифровки и генерацию расшифровщиков и присоединяется к любому объектному коду вируса. Такой расшифровщик не имеет ни одного постоянного бита, длина его всегда разная. • Encrypted (зашифрованные вирусы) - вирусы, которые сами шифруют свой код для затруднения их анализа и обнаружения в файле.
• Packed - упакованный.
• Boot - загрузочные вирусы.
• Stealth (стелс вирусы/вирусы-невидимки) - вирусы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах (cамо понятие осталось от скрывающихся вирусов под DOS, для Windows на данный момент используется понятие Rootkit).
• Retrovirus/Anti-antivirus Virus - вирус, объектом нападения которого являются антивирусные программы.
• Antivirus Virus (антивирусный вирус) - вирусная программа, объектом нападения которой являются другие компьютерные вирусы.
• Intended - вирусы, неспособные размножаться по причине ошибок.
• Zoo (зоологический вирус) - вирус, не встречающийся в "дикой природе" и существующий только в антивирусных лабораториях, коллекциях исследователей и т.п. (с) --------------------
Важно знать! | Помощь в лечении систем от нечисти | HijackThis. Учимся анализировать логи Win32.HLLP.Jeefo.36352 - вирус, заражающий файлы с расширением .exe, .scr, .chk. Trojan.DownLoader 7333 - троян, предназначенный для загрузки и установки без ведома пользователя других вредоносных программ. DLOADER.Trojan - файл желательно запаковать и отослать в лабораторию Dr.Web'a (по почте: vms@drweb.com; в запароленном архиве, пароль "virus"), так как это срабатывание эвристика. Т.е. возможно и ложное срабатывание. А в случае не ложного - его как-раз добавят в вирусную базу и уже с нормальным названием. Trojan Start Page 1505 - приложение, изменяющее стартовую страницу вашего браузера. Adware.SaveNow, Adware.Relevant - программы для загрузки и показа рекламы (также обычно следят за действиями пользователя и собирают о нем различную информацию). Этот вид часто содержатся в бесплатных версиях некоторых программ в качестве неявной оплаты за их использование (DaemonTools, BSplayer, Crystal Player и т.д.).

Лаборатория DrWEB

Рекомендуем ознакомиться с онлайновым изданием:
Н.Головко "Безопасный Интернет"

И со статьей:
"Вирусы в компьютере? Полезные советы и ссылки". 



 

Rambler's Top100