Parsi Coders
نام های مستعار چگونه برای بدافزارها انتخاب میشوند؟ - نسخه قابل چاپ

+- Parsi Coders (http://parsicoders.com)
+-- انجمن: Security and influence (http://parsicoders.com/forumdisplay.php?fid=59)
+--- انجمن: Security (http://parsicoders.com/forumdisplay.php?fid=60)
+--- موضوع: نام های مستعار چگونه برای بدافزارها انتخاب میشوند؟ (/showthread.php?tid=644)



نام های مستعار چگونه برای بدافزارها انتخاب میشوند؟ - Oep - 08-07-2011

خوب یک سری هم به دنیای آنتی ویروس ها بزنیم ببینیم چه خبره !!

تا حالا زیاد دیدین که آنتی ویروستون یک بدافزار رو بشناسه و یک اسم مستعار(Alias) واسه اون بهتون نشون بده . مثلا این متن : W32/Alman.BB و یا W95.Joke/Format_C.A و یا ....
اصلا فکر کردین این اسم ها برچه اساس هستش ؟ از کجا میان ؟ به کجا میرن؟ هدفشون چیه ؟میخوان چی رو به ما بفهمونن؟ و کلی سوال دیگه که واستون پیش میاد
در سال 1991در جلسه Computer Anti-Virus Researchers Organization یک قرار داد برای نظم دادن و ساماندهی این کار یک قرار داد(Caro Virus Name) تصویب کردن که بصورت ذیل بود:
کد:
Family_Name.Group_Name.Major_Variant.Minor_Variant[:Modifier]

خوب از اون موقعه تا الان خیلی وقته داره میگذره بنابراین بطور حتم این قرارداد واسه خودش همینطوری نمونده بلکه تغییراتی پیدا کرده . یک Syntax جدید ایجاد شده که تمام آنتی ویروس ها بر اساس اون پیروی می کنن که بصورت ذیل هستش:


کد:
platform.type/caro-name [message]

خوب حالا به تحلیل این Syntax می پردازیم که اصلان چی به چیه ؟ اگر کلماتی را براساس این قاعده دیدیم بفهمیم به چه مفهومیه.

این لیست کامل از پلتفرم های نیست . شاید یک پلتفرم جدیدی پیدا شد . اون موقع باز قانونی در نظر گرفته شده . نام پلتفرم جدید باید بیشتر از 5کاراکتر نشه و همچنین همیشه باید Uppercase باشه.

2) Multipartite viruses

خوب اینجا یک مشکل پیش میاد اینکه ممکن هستش یک ویروس برای چندید پلتفرم نوشته بشه!! اون موقع چی؟
A. یک راه حل اینکه یکی یکی اسم پلتفرم ها رو با "+" به هم دیگه الحاق کنیم . که این کار زیاد جالب نیست و اسم ویروس هم طولانی میشه
B. استفاده از لغات خلاصه تر و گسترده تر مانند ذیل :
کد:
CMP   - Classical Multipartite (means BOOT+DOS)
    OMP   - Office Multipartite (means Win files amd Office Macros(
    MP    - all other combinations

C. ممکن هستش ویروس از فایل ها و پلتفرم های مختلف برای تکثیر خودش استفاده کنه. بعنوان مثال ما یک ویروس بطور فرضی داریم که آلوده کننده Office97 هستش و همچنین قادر به آلوده سازی فایل های اجرایی W95 هستش . بنابراین Alias برای این ویروس این چنین میشه :

کد:
W95/Hypothetical.7512.A  in the W95 file
          O97M/Hypothetical.7512.A in the Office files

2) Type

در جلسه ای که در سال 1991برگزار شد نام هایی برای Trojans, Droppers, Worms و دیگر بد افزارها انتخاب و توصیف نشد.بطور پیش فرض از نام "Virus" استفاده می شد . شما مس توانید از لیست ذیل هم استفاده نمایید که در Syntax جدید افزوده شده است

کد:
Joke     - Funny program - NO VIRUS.
   Testfile - a antivirus test file such as the EICAR-testfile.
   Trojan   - program which claims to be useful but turns to be
              malware on some point of running.
   Worm     - program which does not replicate on the same computer
              but spreads over networks.
   Dropper  - No virus but a program which drops a virus.
   Germ     - The generation zero of a virus. The initial programmed form.
   Intended - A program which is intended to be a virus but does not
              replicate for some reasons.
   Malware  - not closer specified malware

ویروس های که قابلیت یک Worm رو دارن جزو دار و دسته Virus تلقی میشه

3) Language extensions (for macro viruses)

پیراینده های این Syntax در جلسه Computer Anti-Virus Researchers Organization دوبایت رو برای زبان بد افزار در نظر گرفتن که اغلب برای Macro Virus ها در نظر گرفته مبیشه که قالب این بخش بدین صورت هستش و مانند آن :

کد:
de - german
   it - italian
   fr – French

4) Messages

بعضی مواقع این بدافزارها پیغام های رو به کاربر نشون میدن . این پیغام ها در انتهای نام ویروس با یک کاراکتر Space و در داخل "[]" قرار می گیرد .مانند ذیل :

کد:
W95.Joke/Format_C.A [INNOCENT PROGRAM!]