Co lze vyΦφst z nßzvu viru ?

Pokud najde antivirov² program n∞jak² virus, v∞tÜinou vypφÜe krom∞ jeho nßzvu i dalÜφ informace. Z t∞chto informacφ lze n∞kdy urΦit dalÜφ vlastnosti jmenovanΘho viru.

Ji₧ podle nßzvu "Pieck.4444.A" lze usoudit, ₧e dΘlka viru "Pieck" je 4444 bajt∙ a oznaΦenφ ".A" naznaΦuje, ₧e mß i dalÜφ mφrn∞ se liÜφcφ "brat°φΦky" se stejnou dΘlkou ("Pieck.4444.B" atd.).

JeÜt∞ vφce ukß₧e nßzev viru, jen₧ se jmenuje nap°. "HLLO.Honi.A". Viry oznaΦenΘ jako HLL? (High Level Language) jsou napsßny ve vyÜÜφch programovacφch jazycφch (Pascal, C++, Delphi...). Znak "?" urΦuje, o jak² HLL virus se p°esn∞ jednß:

  • HLLP - High Level Language Parasitic - viry, p°ipojujφcφ se ke svΘmu hostiteli (ve v∞tÜin∞ p°φpad∙ k souboru EXE). Je nutnΘ poznamenat, ₧e napaden² soubor nenφ virem poÜkozen - virus lze z hostitele usp∞Ün∞ odstranit (tj. soubor "vylΘΦit").

  • HLLO - High Level Language Overwriting - nejstupidn∞jÜφ viry z kategorie HLL vir∙ - viry p°episujφcφ. Virus p°epφÜe obsah infikovanΘho souboru (v∞tÜinou EXE soubor) vlastnφm k≤dem (t∞lem) a tak znφΦφ p∙vodnφ obsah souboru. Takto infikovan² soubor je ji₧ nefunkΦnφ a nelze ho opravit. Jedinou mo₧nostφ, jak se t∞chto vir∙ zbavit, je smazat infikovanΘ-poÜkozenΘ soubory.

  • HLLC - High Level Language Companion - doprovodnΘ viry. Virus "napadß" (ve skuteΦnosti je toti₧ nenapadß) soubor typu EXE tak, ₧e vytvo°φ nov² soubor se stejn²m jmΘnem, ale s p°φponou COM a do n∞j umφstφ jen svoje t∞lo. P°i volßnφ p∙vodnφho souboru se pak podle dosovsk²ch priorit volß p°i shodnosti jmen jako prvnφ v₧dy soubor s p°φponou COM - a tφm se vlastn∞ p°edß °φzenφ p°φmo viru, ani₧ dojde ke spuÜt∞nφ ₧ßdanΘho programu. Jeliko₧ tyto viry tvo°φ zcela samostatnΘ soubory (kterΘ obsahujφ jen t∞lo viru), lze je odstranit vymazßnφm infikovan²ch soubor∙. Odstra≥ovßnφ t∞chto vir∙ je tak rychlΘ, efektivnφ a bez ztrßty dat.

  • HLLW - High Level Language Worm - viry, kterΘ svoje t∞lo uklßdajφ do samostatn²ch soubor∙ a "rozsΘvajφ" je po disku. Pro odstra≥ovßnφ t∞chto vir∙ lze pou₧φt stejnou taktiku jako v p°edchozφm p°φpad∞.

    Jist∞ si te∩ dokß₧ete lehce zjistit, co zmi≥ovan² virus "HLLO.Honi.A" provßdφ.
    N∞kterΘ antivirovΘ programy up°es≥ujφ nßzev viru i dalÜφmi dodatky:

    Based - takto oznaΦen² virus je v∞tÜinou vytvo°en pomocφ n∞kterΘho z generßtoru vir∙. Generßtor vir∙ je program, s jeho₧ pomocφ si m∙₧e prakticky kdokoliv vytvo°it virus podle svΘho gusta (u₧ivatel m∙₧e urΦit, kdy a jak se virus projevφ apod.). Viry vytvo°enΘ pomocφ generßtoru vÜak majφ spoleΦn² zßklad, Φeho₧ antiviry vyu₧φvajφ. Slovo "Based" by se tedy dalo p°elo₧it ve stylu "zalo₧eno Φi postaveno na". P°φkladem m∙₧e b²t skupina vir∙ "NRLG.based" - viry vytvo°enΘ generßtorem, jen₧ se jmenuje NRLG.

    Germ - tφmto dodatkem se v∞tÜinou oznaΦuje virus ve svΘ nultΘ generaci (tj. po kompilaci z ASM do COM Φi EXE souboru).

    Dropper - dropper je program, kter² byl navr₧en s cφlem instalovat virus do systΘmu ("vypouÜt∞Φ viru").

    Mp - toto oznaΦenφ pou₧φvß pouze McAfee VirusScan 4.x a Dr.Solomon's AVTK pro oznaΦenφ multipartitnφch vir∙ (multipartite viruses), kterΘ napadajφ zßrove≥ soubory i systΘmovΘ oblasti disku (MBR).

    Generic - tohoto oznaΦenφ vyu₧φvajφ n∞kterΘ antiviry p°i nalezenφ sekvence typickΘ pro virus.

    Viry, urΦenΘ pro operaΦnφ systΘmy Windows jsou v∞tÜinou opat°eny oznaΦenφm W32/, Win32/, W95/, Win95/ atd. Obecn∞ lze °φci, ₧e oznaΦenφ W32/ (Win32/) zφskßvajφ viry, kterΘ jsou schopny provozu pod libovoln²m OS Windows (resp. od Windows 95 nahoru vΦetn∞ NT), kde₧to W95 / (Win95/) pouze ty, kterΘ jsou schopny provozu pod °adou OS Windows 9x (95,98,ME, ne NT/2000/XP...). P°φkladem m∙₧e b²t virus: "W95/CIH.1003".

    Pokud se jednß o makrovirus, lze v∞tÜinou urΦit, pro jakou aplikaci je urΦen. AntivirovΘ programy pou₧φvajφ pro oznaΦenφ makrovir∙ tyto p°edpony:

  • WM/ - makrovirus pro Microsoft Word 6.0, 7.0 (souΦßst Microsoft Office 95). P°φklad: "WM/CAP.A".

  • XM/ - makrovirus pro Microsoft Excel 5.0, 6.0 (souΦßst Microsoft Office 95). P°φklad: "XM/Laroux.A".

  • W97M/ - makrovirus pro Microsoft Word 97. P°φklad: "W97M/Class.D".

  • X97M/ - makrovirus pro Microsoft Excel 97. P°φklad: "X97M/Extras.A".

  • A97M/ - makrovirus pro Microsoft Access 97. P°φklad: "A97M/AccessiV.A".

  • P97M/ - makrovirus pro Microsoft PowerPoint 97. P°φklad: "P97M/Master.A".

  • O97M/ - oznaΦenφ pro makrovirus, kter² se dokß₧e Üφ°it v n∞kolika aplikacφch zßrove≥ (Word 97, Excel 97 atd.). P°φklad: O97M/Tristate.C.

    Makroviry pro Microsoft Office 2000 se oznaΦujφ podobn∞, s tφm rozdφlem, ₧e mφsto "97", obsahujφ v nßzvu "2K" ("W2KM/" atd.).

    N∞kterΘ makroviry pro Word 6-7 a Excel 5-6 se dokß₧ou Üφ°it jen v jednΘ jazykovΘ mutaci Wordu Φi Excelu. TakovΘ makroviry pak b²vajφ oznaΦeny dodatkem, kter² urΦuje, pro jakou mutaci jsou urΦeny. Makrovirus "WM/Xenixos.A:De" se tedy dokß₧e Üφ°it pod n∞meckou mutacφ Wordu a "XM/LMV.B:Tw" pod Tchaiwanskou mutacφ Excelu.