Computer Forum voor al uw vragen en problemen.

Register een gratis account om van alle functies op het forum gebruik te kunnen maken.

Problemen met uw computer, of heeft u advies nodig? PC Web Plus helpt u graag verder.

Welkom op PC Web Plus, op dit computerforum kunt u terecht voor gratis hulp bij computerproblemen en allerhande vragen over software, hardware en computerbeveiliging.

Als gast kunt u alleen het forum bekijken en meelezen met de verschillende discussies. U kunt echter geen reacties of commentaar geven op bestaande discussies, of nieuwe onderwerpen op het forum starten met uw vraag of probleem.

Klik op de onderstaande link om geheel gratis een gebruikersaccount op ons forum te registreren. Vanaf dat moment kunt u deelnemen aan de diverse discussies op het forum.

Klik hier om een gratis account te registreren! - of lees onze Welkomstgids door voor meer informatie over het gebruik van het forum.

 
Gebruikersavatar
Angel@
Security Advisor
Security Advisor
Onderwerp Auteur
Berichten: 1065
Lid geworden op: zo 27 dec, 2009 18:13:34
Kennisniveau: (3) Expert
OS: Linux Mint & Windows 7
AV: avast! Free & IS
Locatie: Amstelveen

Malware benamingen interpreteren

zo 01 jan, 2012 16:43:05

Leveranciers (vendors) van antivirusprogramma's geven bepaalde benamingen aan schadelijke software (Malware) hiervoor is niet echt een uniformiteit en ook nauwelijks realiseerbaar als je kijkt naar de grote hoeveelheden nieuwe malware die verspreid en gedetecteerd worden.
Het analyseren van de malware en daarbij het detecteren, desinfecteren en verwijderen heeft de grootste prioriteit. Het daarbij toekennen van een consistente benaming overeenkomstig met de verschillende leveranciers (vendors) is dan ook niet haalbaar en zeker niet in verband met de huidige detectie vormen als (gedragsdetectie).
Door deze manier van detecteren zijn benamingen zoals Trojan.Win32.Generic of Trojan.Win32.GenHeur een trend geworden en heeft als voornaamste nadeel dat het het zoeken naar specifieke eigenschappen van malware een stuk minder eenvoudig maakt.

Malware benamingen interpreteren
Een malware benaming bestaat in de meeste gevallen uit meerdere woorden, afkortingen die één geheel vormen, maar hoe interpreteer je nu deze benamingen?
De gegeven benaming begint met een voorvoegsel (prefix) die het type malware betiteld.
  • W32 of Win32
  • Trojan of Troj
  • TR/Spy
  • BackDoor.IRC
  • (I)-Worm
  • Rootkit
Na het voorvoegsel de (prefix) of samenvoeging van meerdere voorvoegsels komt de werkelijke benaming. Goede voorbeelden hiervan zijn bijvoorbeeld Win32.Worm.Sasser.F of I-Worm/Sasser.

Na deze benaming staat er vaak nog een achtervoegsel (suffix) wat te zien is bij het voorbeeld van de 'Sasser-Worm' die het achtervoegsel .F heeft.
Dit achtervoegsel geeft aan dat de malware tot dezelfde familie behoort maar niet identiek is in de invloed evenals de uitwerking die het heeft.
Deze achtervoegsels worden in alfabetische volgorde toegevoegd die daarbij ook terug te koppelen zijn naar een bepaalde tijdslijn waarin de malware zich heeft weten te muteren. Een achtervoegsel als .BA geeft dus aan dat er al zesentwintig varianten van deze malware bekend zijn.
Dit achtervoegsel is geen specifieke aanduiding, het is dus goed mogelijk dat deze achtervoegsels niet identiek zijn als het gaat om verschillende vendors maar dat de malware zelf wel identiek is.

Achter het achtervoegsel staat soms ook nog extra informatie die getoond word na het @ teken, dit heet in jargon een modifier, die naast de gebruikte naam achter het voorvoegsel bepaalde extra informatie kan geven over het soort malware.
Een goed voorbeeld daarvan is W32.Mydoom.A@mm de @mm geeft hier aan dat het om (mass mailing) een Trojan.
Dit soort informatie is vaak ook midden in een benaming te vinden als zijnde .DL wat staat voor een (Downloader) of (MulDrop) dat staat voor een malware variant (dropper) die weer verschillende malware varianten kan bevatten.
If it ain't broken, don't fix it

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 2 gasten