Nome de Família

O nome da família é o nome do malware propriamente dito. Na maioria dos casos o nome da família não nos dá qualquer informação sobre o funcionamento do vírus. Exemplo de nomes de família: Netsky, MyDoom, Sasser.

Algumas vezes o nome da família pode nos dar informações sobre o funcionamento. No Trojan.Startpage, por exemplo, sabendo que Start Page é Página Inicial em inglês, podemos entender que o Trojan.Startpage é um trojan que modificada a página inicial do usuário.

Variante

A Variante é colocada logo após o nome da família. Por exemplo, MyDoom.B é o segundo MyDoom lançado. Ele provavelmente será muito parecido com o anterior em vários aspectos, mas pode ser difernete. A variante AA (por exemplo, Netsky.AA) significa que é a 27ª variante, ou seja, depois do Z (contando K, W e Y) temos o AA, então o AB. Depois do AZ temos o BA. Depois do ZZ temos o AAA e assim enquanto houverem novas variantes.

Não existe regra sobre capitalização. Algumas empresas utilizam apenas letras maiúsculas, outras utilizam apenas minúsculas. Algumas empresas também utilizam números (ex: Startpage.19.j).

Assinaturas Genéricas e Malware sem Nome

Diversos malwares recebem assinaturas genéricas. No lado bom, o antivírus poderá detectar diversos trojans, worms e vírus da mesma família sem novas atualizações. No lado ruim, você não poderá saber exatamente qual a variante que você tem e isso pode dificultar a procura de informações.

O avast! é particularmente famoso pela sua Win32.Trojan-Gen. Ela é uma assinatura genérica que detecta vários trojans sem nome.

A McAfee também possui backdoors sem nome. São definidos como Backdoor-Variante. Ou seja, o BackDoor-AAB é um Backdoor sem nome mais antigo que o BackDoor-CDN, outro backdoor sem nome.

Geralmente, entretanto, assinaturas genéricas terminam em Gen de Genérico, como é o caso do avast!. Você pode ver o Bagle-Gen da Sophos e o Rbot.gen da Kaspersky.

Antigamente também eram comuns malwares sem nome ou malwares sem variantes. No lugar do nome ou da variante, era colocado o tamanho (em bytes) do vírus. Atualmente, porém, geralmente se usam variantes ao invés do tamanho em Bytes. O Rugrat, o primeiro vírus para Windows 64, recebeu o nome de W64.Rugrat.3344 pela Symantec, enquanto a Kaspersky o deu nome de Virus.Win64.Rugrat.a. Cada empresa possui suas próprias regras de nomenclatura, e essas diferenças podem ser pequenas (como no caso do Rugrat) ou maiores.

Famílias Úteis

É útil que você decore os nomes de algumas famílias.

Startpage Trojans que mudam a página inicial, tal como hijackers da família CoolWebSearch.
Bloodhound Usado pela Symantec para identificar vírus que ainda não possuem nome e que foram detectados por sistemas de heurística. Se você encontrar um malware identificado como Bloodhound e o Norton estiver totalmente atualizado, é recomendado que você entre em contato com o suporte da Symantec para enviar o arquivo para análise para que o malware receba um nome e seja identificado corretamente. (Obs: A Symantec considera Bloodhound um prefixo)
NewHeur_PE Usado pela ESET (NOD32) para identificar trojans detectados pela heurística, idêntico ao Bloodhound da Symantec.
Agent São trojans que geralmente baixam outros trojans (Downloaders). Outras versões do Agent também podem ser variantes do Startpage (acima) como o Backdoor.Agent.B da Symantec. A diferença principal do Agent para o Small (abaixo) é que o Agent geralmente instala Adware e também pode capturar algumas informações do sistema infectado.
Small É uma família de trojans que baixa outros trojans (como o Agent).
Download.Trojan É usado pela Symantec para definir milhares de trojans qeu baixam outros trojans (como versões do Small e Agent).

Sabendo os nomes acima, você sabe que deve sempre eliminar trojans AGENT e SMALL primeiro, já que eles podem reinstalar os demais através de downloads na Internet. Você pode também instalar um firewall para prevenir o funcionamento de um trojan Agent ou Small, sem nem mesmo saber informações exatas do trojan.

Sufixos

Existem diversos sufixos para os nomes de vírus. Um você já conhece: o Gen geralmente identifica uma assinatura genérica. Mas existem diversos outros:

dam Do inglês de DAMaged. Significa que o arquivo está possui um vírus, mas está danificado e não vai funcionar. Algumas empresas usam corrupt, como pode ser visto W95.CIH.corrupt e W32.Bugbear.B.Dam.
@m @mm Um @m significa que o worm envia e-mails, mas de uma forma pouco agressiva. Um @mm envia e-mails em massa de forma extremamente agressiva.
dldr Usado por algumas empresas para identificar downloaders. Por exemplo, o Dialer-205.dldr é um downloader que vai baixar o Dialer-205.
dr Dr é usado como DRopper. Trojans do tipo Dropper apenas instalam outros trojans no sistema e não usam a Internet para instalar esses novos trojans, pois possuem os outros trojans dentro do seu próprio. Trojan.Qforager.Dr é um trojan que instala o Trojan.Qforager no sistema, por exemplo.

Na próxima página você vai poder conferir diversos exemplos.

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.