Nome de Família
O nome da família é o nome do malware propriamente dito. Na maioria dos casos o nome da família não nos dá qualquer informação sobre o funcionamento do vírus. Exemplo de nomes de família: Netsky, MyDoom, Sasser.
Algumas vezes o nome da família pode nos dar informações sobre o funcionamento. No Trojan.Startpage, por exemplo, sabendo que Start Page é Página Inicial em inglês, podemos entender que o Trojan.Startpage é um trojan que modificada a página inicial do usuário.
Variante
A Variante é colocada logo após o nome da família. Por exemplo, MyDoom.B é o segundo MyDoom lançado. Ele provavelmente será muito parecido com o anterior em vários aspectos, mas pode ser difernete. A variante AA (por exemplo, Netsky.AA) significa que é a 27ª variante, ou seja, depois do Z (contando K, W e Y) temos o AA, então o AB. Depois do AZ temos o BA. Depois do ZZ temos o AAA e assim enquanto houverem novas variantes.
Não existe regra sobre capitalização. Algumas empresas utilizam apenas letras maiúsculas, outras utilizam apenas minúsculas. Algumas empresas também utilizam números (ex: Startpage.19.j).
Assinaturas Genéricas e Malware sem Nome
Diversos malwares recebem assinaturas genéricas. No lado bom, o antivírus poderá detectar diversos trojans, worms e vírus da mesma família sem novas atualizações. No lado ruim, você não poderá saber exatamente qual a variante que você tem e isso pode dificultar a procura de informações.
O avast! é particularmente famoso pela sua Win32.Trojan-Gen. Ela é uma assinatura genérica que detecta vários trojans sem nome.
A McAfee também possui backdoors sem nome. São definidos como Backdoor-Variante. Ou seja, o BackDoor-AAB é um Backdoor sem nome mais antigo que o BackDoor-CDN, outro backdoor sem nome.
Geralmente, entretanto, assinaturas genéricas terminam em Gen de Genérico, como é o caso do avast!. Você pode ver o Bagle-Gen da Sophos e o Rbot.gen da Kaspersky.
Antigamente também eram comuns malwares sem nome ou malwares sem variantes. No lugar do nome ou da variante, era colocado o tamanho (em bytes) do vírus. Atualmente, porém, geralmente se usam variantes ao invés do tamanho em Bytes. O Rugrat, o primeiro vírus para Windows 64, recebeu o nome de W64.Rugrat.3344 pela Symantec, enquanto a Kaspersky o deu nome de Virus.Win64.Rugrat.a. Cada empresa possui suas próprias regras de nomenclatura, e essas diferenças podem ser pequenas (como no caso do Rugrat) ou maiores.
Famílias Úteis
É útil que você decore os nomes de algumas famílias.
| Startpage | Trojans que mudam a página inicial, tal como hijackers da família CoolWebSearch. |
|---|---|
| Bloodhound | Usado pela Symantec para identificar vírus que ainda não possuem nome e que foram detectados por sistemas de heurística. Se você encontrar um malware identificado como Bloodhound e o Norton estiver totalmente atualizado, é recomendado que você entre em contato com o suporte da Symantec para enviar o arquivo para análise para que o malware receba um nome e seja identificado corretamente. (Obs: A Symantec considera Bloodhound um prefixo) |
| NewHeur_PE | Usado pela ESET (NOD32) para identificar trojans detectados pela heurística, idêntico ao Bloodhound da Symantec. |
| Agent | São trojans que geralmente baixam outros trojans (Downloaders). Outras versões do Agent também podem ser variantes do Startpage (acima) como o Backdoor.Agent.B da Symantec. A diferença principal do Agent para o Small (abaixo) é que o Agent geralmente instala Adware e também pode capturar algumas informações do sistema infectado. |
| Small | É uma família de trojans que baixa outros trojans (como o Agent). |
| Download.Trojan | É usado pela Symantec para definir milhares de trojans qeu baixam outros trojans (como versões do Small e Agent). |
Sabendo os nomes acima, você sabe que deve sempre eliminar trojans AGENT e SMALL primeiro, já que eles podem reinstalar os demais através de downloads na Internet. Você pode também instalar um firewall para prevenir o funcionamento de um trojan Agent ou Small, sem nem mesmo saber informações exatas do trojan.
Sufixos
Existem diversos sufixos para os nomes de vírus. Um você já conhece: o Gen geralmente identifica uma assinatura genérica. Mas existem diversos outros:
| dam | Do inglês de DAMaged. Significa que o arquivo está possui um vírus, mas está danificado e não vai funcionar. Algumas empresas usam corrupt, como pode ser visto W95.CIH.corrupt e W32.Bugbear.B.Dam. |
|---|---|
| @m @mm | Um @m significa que o worm envia e-mails, mas de uma forma pouco agressiva. Um @mm envia e-mails em massa de forma extremamente agressiva. |
| dldr | Usado por algumas empresas para identificar downloaders. Por exemplo, o Dialer-205.dldr é um downloader que vai baixar o Dialer-205. |
| dr | Dr é usado como DRopper. Trojans do tipo Dropper apenas instalam outros trojans no sistema e não usam a Internet para instalar esses novos trojans, pois possuem os outros trojans dentro do seu próprio. Trojan.Qforager.Dr é um trojan que instala o Trojan.Qforager no sistema, por exemplo. |
Na próxima página você vai poder conferir diversos exemplos.
Linha Defensiva 