[matéria] Interpretando Nomes De Vírus!

[Powerzin 20]

Por Altieres Rohr

 

Introdução

 

Interpretar nomes de vírus (ou de qualquer tipo de código malicioso) é uma tarefa simples depois que você se acostuma. Entretanto, algumas coisas não são tão óbvias a princípio e por isso esse artigo foi criado: para que você comece a entender o funcionamento básico de um código malicioso apenas vendo o nome dele.

 

Por exemplo, você saberá que P2P-Worm.Win32.Tibick.f é a sexta variante de um worm que utiliza programas como o KaZaA e eMule para se espalhar, enquanto Trojan.Win32.Agent.cp é um trojan que pode ser evitado com um firewall.

 

Antes de começar, é necessário que você saiba que, enquanto os vírus biológicos possuem um nome padronizado em Latim, tal padronização não existe para os vírus de computador. Cada empresa de antivírus pode dar nomes diferentes para malwares iguais. Existem exceções: quando algum vírus se torna uma epidemia (como o MyDoom), as empresas entram em acordo e renomeiam o código malicioso. O MyDoom também foi chamado de Novarg e SCO (por fazer um ataque de negação de serviço no site da SCO).

 

Essa ausência de padrões causará uma enorme dor de cabeça. Para os worms e trojans mais comuns você até pode conseguir todos os nomes diferentes, mas para alguns pode ficar bastante complicado. Se você sabe inglês, você poderá ler a documentação da empresa de antivírus sobre os nomes e poderá entender mais facilmente.

Partes do Nome de um Malware

Tipo (ou Prefixo)

 

Antes de tudo, é importante que você saiba que nem todo vírus ou código malicios infecta outros arquivos. Atualmente, os vírus como eram conhecidos (que infectavam todos os arquivos no disco) estão realmente raros, embora alguns deles ainda possam ser encontrados.

 

Os valores para o Tipo variam muito de empresa para empresa. Algumas empresas utilizam tipos extremamente detalhados, outras usam tipos mais gerais. Para entender os tipos é necessário que você saiba que:

 

* Um Droppper é um trojan que apenas instala outros trojans no sistema. Em um dropper, o código do trojan a ser instalado está dentro do trojan que vai instalá-lo. Abreviando como “DR” por algumas empresas.

* Um Downloader é igual um Dropper, mas o trojan que vai ser instalado é baixado da Internet. Abreviando como “DLDR” por algumas empresas.

* Um Proxy (na linguagem de segurança em worms e trojans) é um backdoor que permite o envio de e-mails camuflados

* IRC se refere ao sistema de bate-papo Internet Relay Chat

* IM são programas de Mensagem Instantânea

* P2P são programas como KaZaA e eMule

 

Dessa forma, um Trojan-Proxy é um trojan que possui um backdoor para envio de e-mails, enquanto um P2P-Worm é um worm que usa o KaZaA e o eMule para se espalhar.

 

É importante que você veja, no nosso Dicionário, a definição dos seguintes termos:

 

* Adware (abreviado: ADW)

* Dialer (abreviado: Dial)

* Exploit

* Backdoor

* Joke

* Macro (ver abaixo)

* Trojan (abreviado: Troj)

* Worm

* Spyware

 

Você deve entender porque cada um dos termos acima, pois esses são os Tipos principais usados pelas companhias de antivírus.

 

Devido a falta de um padrão, você deve tentar tentar raciocionar o que cada Tipo significa. Sabendo o que é um Trojan e um Spyware, por exemplo, você poderá saber que um Trojan-Spy é m trojan com funcionalidades de Spyware e que um Trojan-Downloader é um código malicios que vai baixar trojans.

Tipos Adicionais

 

Alguns tipos que não estão no dicionário e que você deve saber.

Win32, W32 - Usados para identificar algum código malicioso que infecta arquivos em versões 32 bit do Windows. Win64 e Win64 - são usados para Windows 64, W95 e Win95 para Windows 95; WinNT e WNT para Windows NT, etc. Algumas empresas utilizam Win32/W32 apenas como modificar de plataforma, ou seja, não necessariamente infectam arquivos. A Symantec utiliza para identificar infectores de arquivo, mas é anulado se o malware terminar com “Worm” ou @mm.

VBS - Define trojans ou vírus criados em Visual Basic Script.

PWS ou PWSTEAL - Malwares feitos para roubar senhas

JS ou HTML - Define trojans ou vírus criados em Javascript ou HTML.

BAT - Define trojans escritos na forma de arquivos batch do MS-DOS (.bat).

HLLC - High Level Language Companion. Define um vírus programado em uma linguagem alto nível e que “acompanha” os arquivos originais. Ao invés de infectar o arquivo, os companions renomeiam ele e escondem do usuário e depois copiam os vírus onde estava o arquivo. Assim o usuário vai executar o vírus ao invés do arquivo original. Quando o usuário copiar o arquivo em disquetes ou gravar em CD, o vírus também será salvo ao invés do arquivo original.

HLLW - Define um worm que foi feito em uma linguagem de alto nível. Todos os worms atuais são programados em uma linguagem de alto nível, então este termo é um pouco raro de ser visto, já que as companhias não utilizam esse termo por ser pouco conhecido.

HLLO - Define um vírus irreparável que vai sobreescrever os arquivos no disco com seu código, tornando os arquivos impossíveis de recuperar. Se algum antivírus detectar um HLLO no seu computador, faça backup de todos os dados importantes antes que seja tarde.

HLLP - High Level Languange Parasite. Um vírus comum programado em uma linguagem de alto nível como Pascal ou C++.

HackTool - Tipo usado para definir ferramentas usadas para comprometer sistemas.

Tipos Específicos

 

Esses são alguns tipos usados pelas principais companhias de antivírus. Listar todos é quase impossível, serão listados apenas alguns mais comuns:

Ablank Usado pela Sophos para definir os diversos trojans da família do StartPage. Muitas empresas apenas colocam Variantes na família do Startpage.

PE - Usado pela Trend Micro para definir Vírus (ou seja, um código malicioso capaz de infectar outros arquivos)

I-Worm, P2P-Worm,IRC-Worm - Worms que usam a rede, P2P e canais de IRC, respectivamente. Usado pela Kaspersky e compatíveis.

Vírus do Tipo Macro:

 

Para vírus do tipo Macro (que infectam arquivos criados através do Microsoft Office), é um pouco mais complicado. Empresas diferentes usam nomes completamente diferentes. Você precisa lembrar sempre das iniciais para facilitar:

 

* M = Macro

* MS = Microsoft

* O = Office

* W = Word

* A = Access

* X = Excel

 

A2KM Vírus Macro de Access 2000

X97M, XM97, MSExcel Vírus de Macro do Excel 97

OM Vírus de macro de Office (sem versões específica)

O97 Vírus Macro de Office 97.

 

Seguindo esse raciocício, você saberá que W97 ou W97M é um vírus de macro para Word, etc.

 

Importante: Note que esses são tipos de vírus, não nomes de família.

 

Nome de Família

 

O nome da família é o nome do malware propriamente dito. Na maioria dos casos o nome da família não nos dá qualquer informação sobre o funcionamento do vírus. Exemplo de nomes de família: Netsky, MyDoom, Sasser.

 

Algumas vezes o nome da família pode nos dar informações sobre o funcionamento. No Trojan.Startpage, por exemplo, sabendo que Start Page é Página Inicial em inglês, podemos entender que o Trojan.Startpage é um trojan que modificada a página inicial do usuário.

Variante

 

A Variante é colocada logo após o nome da família. Por exemplo, MyDoom.B é o segundo MyDoom lançado. Ele provavelmente será muito parecido com o anterior em vários aspectos, mas pode ser difernete. A variante AA (por exemplo, Netsky.AA) significa que é a 27ª variante, ou seja, depois do Z (contando K, W e Y) temos o AA, então o AB. Depois do AZ temos o BA. Depois do ZZ temos o AAA e assim enquanto houverem novas variantes.

 

Não existe regra sobre capitalização. Algumas empresas utilizam apenas letras maiúsculas, outras utilizam apenas minúsculas. Algumas empresas também utilizam números (ex: Startpage.19.j).

Assinaturas Genéricas e Malware sem Nome

 

Diversos malwares recebem assinaturas genéricas. No lado bom, o antivírus poderá detectar diversos trojans, worms e vírus da mesma família sem novas atualizações. No lado ruim, você não poderá saber exatamente qual a variante que você tem e isso pode dificultar a procura de informações.

 

O avast! é particularmente famoso pela sua Win32.Trojan-Gen. Ela é uma assinatura genérica que detecta vários trojans sem nome.

 

A McAfee também possui backdoors sem nome. São definidos como Backdoor-Variante. Ou seja, o BackDoor-AAB é um Backdoor sem nome mais antigo que o BackDoor-CDN, outro backdoor sem nome.

 

Geralmente, entretanto, assinaturas genéricas terminam em Gen de Genérico, como é o caso do avast!. Você pode ver o Bagle-Gen da Sophos e o Rbot.gen da Kaspersky.

 

Antigamente também eram comuns malwares sem nome ou malwares sem variantes. No lugar do nome ou da variante, era colocado o tamanho (em bytes) do vírus. Atualmente, porém, geralmente se usam variantes ao invés do tamanho em Bytes. O Rugrat, o primeiro vírus para Windows 64, recebeu o nome de W64.Rugrat.3344 pela Symantec, enquanto a Kaspersky o deu nome de Virus.Win64.Rugrat.a. Cada empresa possui suas próprias regras de nomenclatura, e essas diferenças podem ser pequenas (como no caso do Rugrat) ou maiores.

Famílias Úteis

 

É útil que você decore os nomes de algumas famílias.

Startpage - Trojans que mudam a página inicial, tal como hijackers da família CoolWebSearch.

Bloodhound - Usado pela Symantec para identificar vírus que ainda não possuem nome e que foram detectados por sistemas de heurística. Se você encontrar um malware identificado como Bloodhound e o Norton estiver totalmente atualizado, é recomendado que você entre em contato com o suporte da Symantec para enviar o arquivo para análise para que o malware receba um nome e seja identificado corretamente. (Obs: A Symantec considera Bloodhound um prefixo)

NewHeur_PE - Usado pela ESET (NOD32) para identificar trojans detectados pela heurística, idêntico ao Bloodhound da Symantec.

Agent - São trojans que geralmente baixam outros trojans (Downloaders). Outras versões do Agent também podem ser variantes do Startpage (acima) como o Backdoor.Agent.B da Symantec. A diferença principal do Agent para o Small (abaixo) é que o Agent geralmente instala Adware e também pode capturar algumas informações do sistema infectado.

Small - É uma família de trojans que baixa outros trojans (como o Agent).

Download.Trojan - É usado pela Symantec para definir milhares de trojans qeu baixam outros trojans (como versões do Small e Agent).

 

Sabendo os nomes acima, você sabe que deve sempre eliminar trojans AGENT e SMALL primeiro, já que eles podem reinstalar os demais através de downloads na Internet. Você pode também instalar um firewall para prevenir o funcionamento de um trojan Agent ou Small, sem nem mesmo saber informações exatas do trojan.

Sufixos

 

Existem diversos sufixos para os nomes de vírus. Um você já conhece: o Gen geralmente identifica uma assinatura genérica. Mas existem diversos outros:

dam - Do inglês de DAMaged. Significa que o arquivo está possui um vírus, mas está danificado e não vai funcionar. Algumas empresas usam corrupt, como pode ser visto W95.CIH.corrupt e W32.Bugbear.B.Dam.

@m @mm Um @m significa que o worm envia e-mails, mas de uma forma pouco agressiva. Um @mm envia e-mails em massa de forma extremamente agressiva.

dldr - Usado por algumas empresas para identificar downloaders. Por exemplo, o Dialer-205.dldr é um downloader que vai baixar o Dialer-205.

dr - Dr é usado como DRopper. Trojans do tipo Dropper apenas instalam outros trojans no sistema e não usam a Internet para instalar esses novos trojans, pois possuem os outros trojans dentro do seu próprio. Trojan.Qforager.Dr é um trojan que instala o Trojan.Qforager no sistema, por exemplo.

 

Exemplos

 

O melhor jeito de entender os diferentes estilos de nomes é vendo exemplo. Abaixo você pode ver diversos exemplos com suas interpretações:

 

* [McAfee] W32/Mydoom@MM Primeira variante do MyDoom, um mass-mailer (@mm) agressivo que roda em Windows. Deve-se desconectar o computador da rede até limpar o mesmo.

* [Kaspersky] Trojan-Proxy.Win32.Mitglieder.a Um Trojan, que possui um proxy de e-mail para enviar mensagens de e-mail anônimas. Deve-se instalar um firewall para evitar que o proxy seja usado.

* [Trend Micro] PE_WINDANG.B Um infector de arquivos (PE) em sua segunda variante (B). Deve-se iniciar o computador no Modo de Segurança para executar o antivírus e desinfectar os arquivos.

* [symantec] W32.HLLW.Lovgate@mm Um worm chamado Lovgate que enviará a si mesmo e via e-mail (@mm) e potencialmente usará outros recursos da rede para se espalhar (HLLW). Deve-se desconectar o sistema da rede para a desinfecção ou usar um firewall.

* [sophos] Dial/Datemake-A Primeira variante de um Dialer. Nesse caso, deve-se desconectar a linha telefônica do computador até a desinfecção para evitar que o Dialer funcione.

* [McAfee] A2KM/Sadip@MM Primeira variante de um vírus de macro que infecta arquivos do Microsoft Access e enviará a si mesmo de forma agressiva via e-mail.

* [Kaspersky] Exploit.Win32.MS04-028.gen Detecção genérica para um exploit que se aproveita da falha detalhada no boletim MS04-028.

* [sophos] W32/MyDoom-O 15ª variante do MyDoom, um malware que roda em Windows. O nome não nos deu informações suficientes nesse caso. É necessário procurar mais informações.

 

Como você conseguiu perceber, algumas empresas separam tipos com pontos, outras com barras e a Trend Micro utiliza um _. Conhecendo os tipos de malware e interpretando seus nomes é possível, na maioria das vezes, ter uma idéia do que deve ser feito sem mesmo a necessidade de buscar mais informações sobre a praga. Outras vezes, o nome não será suficiente.

 

Conclusão

 

Interpretar o nome dos vírus é com certeza algo útil, mas podemos enfrentar dificuldades algumas vezez devido à falta de um padrão que regule os nomes. Agora que você já sabe interpretar esses nomes, com certeza algumas coisas ficarão mais claras para você.

 

Bom pessoal, espero que esse achado seja interessante para o pessoal que acha que so existe somente um tipo de malware (virus) entender que nao existe somente os virus assim como existem tambem suas variaçoes e caracteristicas tudo isso pode ser analisado pela sua nomenclatura!!

 

___

 

Bom galera, pode esperar que vai ter muito mais,mas agor vão ser tutoriais e/ou matérias feitos(a) por mim.

Editado Março 7, 2008 por Powerzin

[Northon 3]

Cloca Assim No Creditos:

 

Creditos:

 

De: Linha Defensiva

Trazido Por: Powerzin

Editado Março 7, 2008 por Northon

[Lordfire 309]

Eu tinha um vírus chamado Dragon.Ball.Worm

Traduz, plx?

[Nottinghster 16]

Tópico bastante interessante para quem quer aprende mais sobre os vírus!

 

Eu particularmente gostei.

[godstreet 3]

boa..concerteza isso vai ajuda

mto player^^