Como ler e compreender nomes de Malware

 
UAB DIGIMA

Confuso sobre o que o antivírus detetou no seu computador? Não está sozinho. Este guia irá tentar espalhar alguma luz sobre o que significam estes nomes e como obter mais informação sobre o parasita. A deteção de malware nunca é amigável para o utilizador e em muitos casos os criadores tentam convencê-lo de que fizeram um grande trabalho a detetar malware e pensam que é suficiente.

O problema com isto é o seguinte: os vendedores de antivírus esquecem ou ignoram que pode precisar de mais informação sobre este parasita. Isso não é verdade em muitos casos:

  1. Como decidir se a infeção comprometeu alguma informação?
  2. E se for um falso positivo ou um programa questionável?
  3. E se o problema reaparecer constantemente?

Por isso é que é preciso conhecer e compreender os termos que se obtém dos criadores de malware e sobre como o parasita pode ser denominado noutras fontes.

Como é que os criadores de anti-malware nomeiam parasitas?

A verdade é que há muitas maneiras de construir o nome de um parasita. O nome é raramente amigável para o utilizador, e serve apenas para identificar o parasita numa base de dados de antivírus. Contudo, a maioria dos vendedores de antivírus querem organizar a sua informação de forma apropriada para que os parasitas relacionados sejam renomeados de forma semelhante uma vez que isso ajuda à sua pesquisa. Assim, tipicamente, cada deteção tem entre 2 e 5 partes diferentes:

  1. Função do malware (Backdoor, Adware, Spyware, Agente/Genérico , Descarregador, Enganador, sequestrador etc). Esta parte define o que o parasita irá fazer no seu sistema e que sintomas irá ver. Note, que alguns antivírus usam uma classificação mais grosseira e outros uma mais fina. Uma menção especial vai para o HEUR ou deteção comportamental, que significa que o parasita não é conhecido e apenas suspeito por causa de códigos possivelmente maliciosos que utiliza.
  2. Plataforma ou SO em que corre (Win32/W32, OSX, Android, Symbian, JS/HTML, Linux, etc). Isto mostra onde é que o vírus particular pode correr. Contudo isto não significa que os parasitas estejam prevenidos de infetar plataformas diferentes. Por isso, por exemplo, o JS.Injector pode tentar instalar trojans de Windows ou Mac para só o podem fazer se vir a página infetada.
  3. Métodos de distribuição (Vírus, Trojan, Worm). Enquanto os vírus infetam ficheiros, os trojans substituem ou imitam ficheiros bons e worms tentam instalar-se utilizando várias vulnerabilidades. Há um caso especial de Programas Potencialmente Indesejados (PUP, PUA, “Não um vírus” ou pacote) que referencia programas que são instalados pelas próprias pessoas mas têm funções indesejadas ou podem ser falsamente anunciados. Ainda que esta informação seja importante tanto para criadores de antivírus e vítimas de malware, é menos importante do que a função um uma vez que é usado mais frequentemente.
  4. Nome “Amigável para o utilizador” da família. Ainda que esteja omitida para alguns criadores de AV, alguns incluem o nome tipo para o grupo de malware. Tipicamente, isto referencia algum tipo de sintoma ou uma sequência de caracteres de um ficheiro de malware. Por vezes um nome de outra base de dados de uma ferramenta anti-malware é adotado. Tipicamente, esta é uma das últimas partes no nome completo do parasita.
  5. A versão do parasite particular se existirem várias versões. Tipicamente, é a última parte do nome do parasita.

Alguns exemplos:

Trojan.Generic ou Trojan.Agent ou Trojan.Win32 – parasita trojan sem qualquer informação específica sobre família ou função. É óbvio, que para mais informação terá de examinar com uma ferramenta diferente ou carregar a informação para o VirusTotal ou outro serviço online de verificação. Pode também ser um falso positivo.

W32.Downadup.b – parasita do Windows 32 bit da família Downdup, versão B.

Enquanto muitos vendedores de antivírus publicam as suas bases de dados online, a melhor maneira de investigar a deteção é estreitar a família de malware e tentar encontrar informação legível por humanos sobre ela. Em casos complexos pode ser feito carregando o parasita para o VirusTotal ou pesquisando pela informação por família de parasitas.

 
 
 

Deixar uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *