نام های مستعار چگونه برای بدافزارها انتخاب میشوند؟ - نسخه قابل چاپ +- Parsi Coders (http://parsicoders.com) +-- انجمن: Security and influence (http://parsicoders.com/forumdisplay.php?fid=59) +--- انجمن: Security (http://parsicoders.com/forumdisplay.php?fid=60) +--- موضوع: نام های مستعار چگونه برای بدافزارها انتخاب میشوند؟ (/showthread.php?tid=644) |
نام های مستعار چگونه برای بدافزارها انتخاب میشوند؟ - Oep - 08-07-2011 خوب یک سری هم به دنیای آنتی ویروس ها بزنیم ببینیم چه خبره !! تا حالا زیاد دیدین که آنتی ویروستون یک بدافزار رو بشناسه و یک اسم مستعار(Alias) واسه اون بهتون نشون بده . مثلا این متن : W32/Alman.BB و یا W95.Joke/Format_C.A و یا .... اصلا فکر کردین این اسم ها برچه اساس هستش ؟ از کجا میان ؟ به کجا میرن؟ هدفشون چیه ؟میخوان چی رو به ما بفهمونن؟ و کلی سوال دیگه که واستون پیش میاد در سال 1991در جلسه Computer Anti-Virus Researchers Organization یک قرار داد برای نظم دادن و ساماندهی این کار یک قرار داد(Caro Virus Name) تصویب کردن که بصورت ذیل بود: کد: Family_Name.Group_Name.Major_Variant.Minor_Variant[:Modifier] خوب از اون موقعه تا الان خیلی وقته داره میگذره بنابراین بطور حتم این قرارداد واسه خودش همینطوری نمونده بلکه تغییراتی پیدا کرده . یک Syntax جدید ایجاد شده که تمام آنتی ویروس ها بر اساس اون پیروی می کنن که بصورت ذیل هستش: کد: platform.type/caro-name [message] خوب حالا به تحلیل این Syntax می پردازیم که اصلان چی به چیه ؟ اگر کلماتی را براساس این قاعده دیدیم بفهمیم به چه مفهومیه. این لیست کامل از پلتفرم های نیست . شاید یک پلتفرم جدیدی پیدا شد . اون موقع باز قانونی در نظر گرفته شده . نام پلتفرم جدید باید بیشتر از 5کاراکتر نشه و همچنین همیشه باید Uppercase باشه. 2) Multipartite viruses خوب اینجا یک مشکل پیش میاد اینکه ممکن هستش یک ویروس برای چندید پلتفرم نوشته بشه!! اون موقع چی؟ A. یک راه حل اینکه یکی یکی اسم پلتفرم ها رو با "+" به هم دیگه الحاق کنیم . که این کار زیاد جالب نیست و اسم ویروس هم طولانی میشه B. استفاده از لغات خلاصه تر و گسترده تر مانند ذیل : کد: CMP - Classical Multipartite (means BOOT+DOS) C. ممکن هستش ویروس از فایل ها و پلتفرم های مختلف برای تکثیر خودش استفاده کنه. بعنوان مثال ما یک ویروس بطور فرضی داریم که آلوده کننده Office97 هستش و همچنین قادر به آلوده سازی فایل های اجرایی W95 هستش . بنابراین Alias برای این ویروس این چنین میشه : کد: W95/Hypothetical.7512.A in the W95 file 2) Type در جلسه ای که در سال 1991برگزار شد نام هایی برای Trojans, Droppers, Worms و دیگر بد افزارها انتخاب و توصیف نشد.بطور پیش فرض از نام "Virus" استفاده می شد . شما مس توانید از لیست ذیل هم استفاده نمایید که در Syntax جدید افزوده شده است کد: Joke - Funny program - NO VIRUS. ویروس های که قابلیت یک Worm رو دارن جزو دار و دسته Virus تلقی میشه 3) Language extensions (for macro viruses) پیراینده های این Syntax در جلسه Computer Anti-Virus Researchers Organization دوبایت رو برای زبان بد افزار در نظر گرفتن که اغلب برای Macro Virus ها در نظر گرفته مبیشه که قالب این بخش بدین صورت هستش و مانند آن : کد: de - german 4) Messages بعضی مواقع این بدافزارها پیغام های رو به کاربر نشون میدن . این پیغام ها در انتهای نام ویروس با یک کاراکتر Space و در داخل "[]" قرار می گیرد .مانند ذیل : کد: W95.Joke/Format_C.A [INNOCENT PROGRAM!] |