Co lze vyčíst z názvu viru ?

Pokud najde antivirový program nějaký virus, většinou vypíše kromě jeho názvu i další informace. Z těchto informací lze někdy určit další vlastnosti jmenovaného viru.

Již podle názvu "Pieck.4444.A" lze usoudit, že délka viru "Pieck" je 4444 bajtů a označení ".A" naznačuje, že má i další mírně se lišící "bratříčky" se stejnou délkou ("Pieck.4444.B" atd.).

Ještě více ukáže název viru, jenž se jmenuje např. "HLLO.Honi.A". Viry označené jako HLL? (High Level Language) jsou napsány ve vyšších programovacích jazycích (Pascal, C++, Delphi...). Znak "?" určuje, o jaký HLL virus se přesně jedná:

  • HLLP - High Level Language Parasitic - viry, připojující se ke svému hostiteli (ve většině případů k souboru EXE). Je nutné poznamenat, že napadený soubor není virem poškozen - virus lze z hostitele uspěšně odstranit (tj. soubor "vyléčit").

  • HLLO - High Level Language Overwriting - nejstupidnější viry z kategorie HLL virů - viry přepisující. Virus přepíše obsah infikovaného souboru (většinou EXE soubor) vlastním kódem (tělem) a tak zníčí původní obsah souboru. Takto infikovaný soubor je již nefunkční a nelze ho opravit. Jedinou možností, jak se těchto virů zbavit, je smazat infikované-poškozené soubory.

  • HLLC - High Level Language Companion - doprovodné viry. Virus "napadá" (ve skutečnosti je totiž nenapadá) soubor typu EXE tak, že vytvoří nový soubor se stejným jménem, ale s příponou COM a do něj umístí jen svoje tělo. Při volání původního souboru se pak podle dosovských priorit volá při shodnosti jmen jako první vždy soubor s příponou COM - a tím se vlastně předá řízení přímo viru, aniž dojde ke spuštění žádaného programu. Jelikož tyto viry tvoří zcela samostatné soubory (které obsahují jen tělo viru), lze je odstranit vymazáním infikovaných souborů. Odstraňování těchto virů je tak rychlé, efektivní a bez ztráty dat.

  • HLLW - High Level Language Worm - viry, které svoje tělo ukládají do samostatných souborů a "rozsévají" je po disku. Pro odstraňování těchto virů lze použít stejnou taktiku jako v předchozím případě.

    Jistě si teď dokážete lehce zjistit, co zmiňovaný virus "HLLO.Honi.A" provádí.
    Některé antivirové programy upřesňují název viru i dalšími dodatky:

    Based - takto označený virus je většinou vytvořen pomocí některého z generátoru virů. Generátor virů je program, s jehož pomocí si může prakticky kdokoliv vytvořit virus podle svého gusta (uživatel může určit, kdy a jak se virus projeví apod.). Viry vytvořené pomocí generátoru však mají společný základ, čehož antiviry využívají. Slovo "Based" by se tedy dalo přeložit ve stylu "založeno či postaveno na". Příkladem může být skupina virů "NRLG.based" - viry vytvořené generátorem, jenž se jmenuje NRLG.

    Germ - tímto dodatkem se většinou označuje virus ve své nulté generaci (tj. po kompilaci z ASM do COM či EXE souboru).

    Dropper - dropper je program, který byl navržen s cílem instalovat virus do systému ("vypouštěč viru").

    Mp - toto označení používá pouze McAfee VirusScan 4.x a Dr.Solomon's AVTK pro označení multipartitních virů (multipartite viruses), které napadají zároveň soubory i systémové oblasti disku (MBR).

    Generic - tohoto označení využívají některé antiviry při nalezení sekvence typické pro virus.

    Viry, určené pro operační systémy Windows jsou většinou opatřeny označením W32/, Win32/, W95/, Win95/ atd. Obecně lze říci, že označení W32/ (Win32/) získávají viry, které jsou schopny provozu pod libovolným OS Windows (resp. od Windows 95 nahoru včetně NT), kdežto W95 / (Win95/) pouze ty, které jsou schopny provozu pod řadou OS Windows 9x (95,98,ME, ne NT/2000/XP...). Příkladem může být virus: "W95/CIH.1003".

    Pokud se jedná o makrovirus, lze většinou určit, pro jakou aplikaci je určen. Antivirové programy používají pro označení makrovirů tyto předpony:

  • WM/ - makrovirus pro Microsoft Word 6.0, 7.0 (součást Microsoft Office 95). Příklad: "WM/CAP.A".

  • XM/ - makrovirus pro Microsoft Excel 5.0, 6.0 (součást Microsoft Office 95). Příklad: "XM/Laroux.A".

  • W97M/ - makrovirus pro Microsoft Word 97. Příklad: "W97M/Class.D".

  • X97M/ - makrovirus pro Microsoft Excel 97. Příklad: "X97M/Extras.A".

  • A97M/ - makrovirus pro Microsoft Access 97. Příklad: "A97M/AccessiV.A".

  • P97M/ - makrovirus pro Microsoft PowerPoint 97. Příklad: "P97M/Master.A".

  • O97M/ - označení pro makrovirus, který se dokáže šířit v několika aplikacích zároveň (Word 97, Excel 97 atd.). Příklad: O97M/Tristate.C.

    Makroviry pro Microsoft Office 2000 se označují podobně, s tím rozdílem, že místo "97", obsahují v názvu "2K" ("W2KM/" atd.).

    Některé makroviry pro Word 6-7 a Excel 5-6 se dokážou šířit jen v jedné jazykové mutaci Wordu či Excelu. Takové makroviry pak bývají označeny dodatkem, který určuje, pro jakou mutaci jsou určeny. Makrovirus "WM/Xenixos.A:De" se tedy dokáže šířit pod německou mutací Wordu a "XM/LMV.B:Tw" pod Tchaiwanskou mutací Excelu.