بلاگ

 

نحوه نام گزاری بدافزارها

نرم افزارهای مخرب و ناخواسته با توجه به استاندارد سازمان تحقیقات ضدبدافزارهای رایانه ای (CARO)  نامگزاری میشوند. در این شیوه نامگزاری از قالب زیر استفاده شده است.

تحلیلگران هنگام بررسی تهدیدات، اجزای مختلف آن را برای نامگزاری مشخص میکنند.

 

khl'chvd fnhtchvihd lovf

 

نوع (type):

توضیح می دهد که بدافزار بر روی کامپیوتر شما چگونه عمل کرده و از چه جنسی می باشد. کرم ها، ویروس ها، تروجان ها، Backdoors و باج افزارها برخی از مشهورترین انواع بدافزار هستند. دیگر انواع بد افزارها که در نامگزاری استفاده میشوند به شرح زیر می باشند:

 

  • Adware
  • Backdoor
  • Behavior
  • BrowserModifier
  • Constructor
  • DDoS
  • Exploit
  • Hacktool
  • Joke
  • Misleading
  • MonitoringTool
  • Program
  • PWS
  • Ransom
  • RemoteAccess
  • Rogue
  • SettingsModifier
  • SoftwareBundler
  • Spammer
  • Spoofer
  • Spyware
  • Tool
  • Trojan
  • TrojanClicker
  • TrojanDownloader
  • TrojanNotifier
  • TrojanProxy
  • TrojanSpy
  • VirTool
  • Virus
  • Worm

محیط اجرای بدافزار (Platforms):

محیط اجرای بد افزار سیستم عامل هایی هستند که بدافزارها برای تاثیر گزاری و اجرا در آنها طراحی میشوند این بستر نرم افزاری همچنین برای نشان دادن زبان برنامه نویسی و فرمت های فایل استفاده می شود.

سیستم عامل ها:

 

AndroidOS: Android operating system
DOS: MS-DOS platform
EPOC: Psion devices
FreeBSD: FreeBSD platform
iPhoneOS: iPhone operating system
Linux: Linux platform
MacOS: MAC 9.x platform or earlier
MacOS_X: MacOS X or later
OS2: OS2 platform
Palm: Palm operating system
Solaris: System V-based Unix platforms
SunOS: Unix platforms 4.1.3 or lower
SymbOS: Symbian operating system
Unix: general Unix platforms
Win16: Win16 (3.1) platform
Win2K: Windows 2000 platform
Win32: Windows 32-bit platform
Win64: Windows 64-bit platform
Win95: Windows 95, 98 and ME platforms
Win98: Windows 98 platform only
WinCE: Windows CE platform
WinNT: WinNT

زبانهای اسکریپت:

 

ABAP: Advanced Business Application Programming scripts
ALisp: ALisp scripts
AmiPro: AmiPro script
ANSI: American National Standards Institute scripts ASP: Active Server Pages scripts
AutoIt: AutoIT scripts
BAS: Basic scripts
BAT: Basic scripts
CorelScript: Corelscript scripts
HTA: HTML Application scripts
HTML: HTML Application scripts
INF: Install scripts
IRC: mIRC/pIRC scripts
Java: Java binaries (classes)
JS: Javascript scripts
LOGO: LOGO scripts
MPB: MapBasic scripts
MSH: Monad shell scripts
MSIL: .Net intermediate language scripts
Perl: Perl scripts
PHP: Hypertext Preprocessor scripts
Python: Python scripts
SAP: SAP platform scripts
SH: Shell scripts
VBA: Visual Basic for Applications scripts
VBS: Visual Basic scripts
WinBAT: Winbatch scripts
WinHlp: Windows Help scripts
WinREG: Windows registry scripts

 ماکروها:

 

  • A97M: Access 97, 2000, XP, 2003, 2007, and 2010 macros
  • HE: macro scripting
  • O97M: Office 97, 2000, XP, 2003, 2007, and 2010 macros - those that affect Word, Excel, and Powerpoint
  • PP97M: PowerPoint 97, 2000, XP, 2003, 2007, and 2010 macros
  • V5M: Visio5 macros
  • W1M: Word1Macro
  • W2M: Word2Macro
  • W97M: Word 97, 2000, XP, 2003, 2007, and 2010 macros
  • WM: Word 95 macros
  • X97M: Excel 97, 2000, XP, 2003, 2007, and 2010 macros
  • XF: Excel formulas
  • XM: Excel 95 macros

 

سایر انواع فایل:

  • ASX: XML metafile از فایل های .asf Windows Media
  • HC: HyperCard اپل اسکریپت
  • MIME: بسته های MIME
  • Netware: فایل های Netware Novell
  • QT: فایل های Quicktime
  • SB: StarBasic (Staroffice XML) فایل ها
  • SWF: فایل های فلش Shockwave
  • TSQL: فایل های MS SQL سرور
  • XML: فایل های XML

دسته بندی(Family):

نرم افزارهای مخرب براساس ویژگی های مشترک، از جمله نویسندگان مشترک، اثرگزاری مشابه و ... دسته بندی می شوند ارائه دهندگان نرم افزار امنیتی گاهی از نام های مختلف برای یک خانواده بدافزار استفاده می کنند.

گونه (Variant letter)­:

برای هر گونه متمایز از یک خانواده بدافزار به ترتیب کشف بدافزار استفاده می شود. به عنوان مثال،گونه نوع “.AF” پس از تشخیص گونه “.AE”  کشف شده است.

پسوندها (Suffixes):

جزئیات بیشتر در مورد بدافزارها را شامل می شود، از جمله نحوه استفاده از آن به عنوان بخشی از یک تهدید چند جزئی. در مثال بالا “!lnk” نشان می دهد که جزء تهدید یک فایل میانبر است که توسط Trojan:Win32/Reveton.T. استفاده می شود.

 

  • .dam (بدافزارهای آسیب دیده)
  • .dll (جزء کتابخانه پیوند پویا از یک نرم افزار مخرب است)
  • .dr (رها شدن قطعه نرم افزار مخرب)
  • .gen (بدافزار است که با استفاده از امضای عمومی شناسایی می شود)
  • .kit (سازنده ویروس)
  • .ldr (جز لودر یک نرم افزار مخرب)
  • .pak (بدافزار فشرده)
  • .plugin (جزء پلاگین)
  • .remnants (باقی مانده از یک ویروس)
  • .worm (جزء کرم آن بدافزار است)
  • !bit (یک دسته داخلی برای اشاره به برخی تهدیدات استفاده می شود)
  • !cl (یک دسته داخلی برای اشاره به برخی تهدیدات استفاده می شود)
  • !dha (یک دسته داخلی برای اشاره به برخی تهدیدات استفاده می شود)
  • !pfn (یک دسته داخلی برای اشاره به برخی تهدیدات استفاده می شود)
  • !plock (یک دسته داخلی برای اشاره به برخی تهدیدات استفاده می شود)
  • !rfn (یک دسته داخلی برای اشاره به برخی تهدیدات استفاده می شود)
  •  !rootkit(مولفه rootkit ان بدافزار است)
  •  @m(فرستنده کرم)
  •  @mm(انبوه فرستنده کرم)
«تمامي كالاها و خدمات اين فروشگاه، حسب مورد داراي مجوزهاي لازم از مراجع مربوطه مي‌باشند و فعاليت‌هاي اين سايت تابع قوانين و مقررات جمهوري اسلامي ايران است.»