Se você desconhece o nome das pragas de computador, possivelmente não saberá de imediato como reagir quando seu antivírus alertar sobre o JS/Downloader.gen, o W32.Netsky.a@mm ou o Backdoor.HackDefender. No entanto, a existência de alguns padrões permite que, apenas pelo nome, o usuário tenha uma boa ideia do comportamento desses códigos maliciosos. A coluna de hoje decifra a "genética" dos nomes de vírus, para facilitar a identificação dessas pragas.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Decifrando os termos em nomes de pragas
Cada antivírus usa termos diferentes em seus nomes. A barra na tabela abaixo separa alguns termos iguais que são escritos de forma diferente. Esses termos podem ser prefixos (vir antes da família) ou sufixos (depois). Com base na tabela abaixo, por exemplo, dá para saber que o W32.HLLW.Lovgate@mm é uma praga da família Lovgate e que ela foi programada em uma linguagem de alto nível para se espalhar pela rede e por e-mail. Confira:
| @m | Envia e-mails para se espalhar. Exemplo: W32/Ska@M |
| @mm/Email-Worm/I-Worm | Envia grande quantidade de e-mails para se espalhar. Exemplo: Email-Worm.Win32.Sober.c |
| ! e outros sufixos não-variante | Utilizado para dar informações adicionais. Por exemplo, um “Algumvírus.dam” significa um arquivo danificado, enquanto um “Algumvírus!dll” se refere a um componente DLL do vírus especificado na família. Exemplo: W32/Pinkslipbot!dll |
| Backdoor | Permite o controle do PC pelo criador da praga. Exemplo: Backdoor.SubSeven |
| Downloader/Dldr | Instala arquivos no PC, baixados da internet. Exemplo: Downloader.Trojan |
| Dropper/Drop/Dr | Instala arquivos no PC sem precisar baixar nada. Exemplo: Trojan-Dropper.Win32.Yabinder.a |
| Exploit | Código usado somente para explorar falha de segurança (raramente usado para vírus que exploram falhas). Exemplo: Exploit-MS04-028 |
| Gen | Vírus genérico, sem variante. Quando há muitas variantes de uma praga, ou quando não vale a pena catalogá-la sob uma família nova, usa-se o “gen”. Exemplo: Win32:trojan-gen |
| HLLC/HLLW/HLLP/HLLO (Vírus de Companhia, Rede, Parasita, Destruidor de arquivos, respectivamente) | Estes termos têm caído em desuso. Significam que o vírus foi programado em uma linguagem de alto nível. Fazia sentido antigamente, mas hoje todos os vírus são feitos em alto nível. O mais relevante é o HLLO, que significa um vírus que destrói arquivos de maneira irreparável. Exemplo: W32.HLLO.Videoinf |
| Joke | Um programa não malicioso, mas que prega uma “peça”. Exemplo: Joke.Win32.VB.h |
| JS/HTML/VBS | É um código em formato script (texto – o normal é binário, código) que faz uso da referida linguagem (Javascript, HTML, VBScript...). Exemplo: VBS.LoveLetter |
| M (Macro) MS/O (Office) W (Word)/A (Access)/X (Excel) | São vírus de macro do Microsoft Office. Raríssimos hoje. São combinações dessas letras que dão o significado. Por exemplo, OM é “Office Macro”. A2KM é “Macro do Access 2000”. X97M é “Macro do Excel 97” e assim por diante. Exemplo: W97M.Melissa.A |
| PUP/PUA | Programa Potencialmente Indesejado (acrônimo do inglês: potentially unwanted program/application). Exemplo: Generic PUP.x!06F91978 |
| PE | Usado por poucas companhias antivírus. PE significa “Portable Executable”, ou seja, programas. Significa que o vírus infecta programas ou é um programa. Exemplos: NewHeur_PE; PE_WINDANG |
| Proxy | Abre um proxy no computador, normalmente de e-mails. Com isso, o criador da praga pode enviar e-mails ou navegador na web pelos computadores infectados. Exemplo: Trojan-Proxy.Win32.Mitglieder.a |
| PWS/PWSteal/Infostealer | Rouba senhas ou outras informações valiosas. Exemplo: PWS-Mmorpg.gen |
| Spy | Faz algum tipo de espionagem no computador. Exemplo: Trojan-Spy.Win32.Banker |
| Trojan/Troj | Praga que, de modo geral, não se espalha sozinha e, por isso, é “semeada” por seu criador. Exemplo: Troj/Ransom-A |
| W32/Win32 | É uma praga que ataca sistemas Windows. Praticamente irrelevante hoje, mas antigamente se usava muito para diferenciar dos vírus de DOS. Ainda se usa em alguns casos, especialmente em pragas clássicas. Exemplo: W32.Blaster.Worm |
| I-Worm/Worm/P2P | Um vírus que ataca pela rede. No caso de P2P, redes de trocas de arquivo. I-Worm aparece aqui novamente, porque algumas empresas usam tanto para um quanto para outro. Exemplo: P2P-Worm.Win32.Tibick |
Às vezes esses termos fazem parte da própria família do vírus. E em alguns casos, a família do vírus poderá dar a informação que falta. Por exemplo: não é difícil deduzir que tipo de informação o “Infostealer.Bancos” rouba, ainda mais com o nome em português.
Nenhum comentário:
Postar um comentário