Petya、Misha、WannaCry、13日金曜日、Anna Kournikova ...ネットワークで実際の流行を引き起こしたコンピューターウイルスの名前は長い話でした。 技術的な詳細に入ることなく、メディア間で混乱を招くような修正を行うことなく、原則としてメディアによって常に繰り返されます。
ウイルスの名前と名前を疑問に思ったことはありますか? 結局のところ、多くのコンピューターマルウェアがあり、何百万ものマルウェアがあり、すべてを何らかの形で呼び出す必要があります。 カットの下-ウイルス、トロイの木馬、その他のコンピューターの悪の命名についての短いエクスカーション。
それでは、検出されたマルウェアに名前を付けることで、人々は何を導きますか?
分類子名
アンチウイルス研究所で別のウイルスが検出されると、アナリストはそれを部分に「分解」し、機能を調べてから、ウイルスに識別子名を割り当てます。
名前は統一されており、ウイルスとその前身の機能に直接依存しています。 たとえば、Backdoor.Win32.Odinaff.Aはウイルスバックドア(「バックドア」)です。つまり、その主なタスクは、感染したマシンへのリモートアクセスを提供することです。 それはWindowsプラットフォームで書かれており、研究室ではウイルスアナリストがOdinaffという名前を付けました。 そして、これはモディフィケーションAであり、その書き換えられたモディフィケーションはコードBを持ちます。
分類子名は、実験室ごとに異なる場合があります。 これは、たとえば、単一のVirusTotalウイルスデータベースの写真で、アンチウイルスソフトウェアのさまざまなメーカーの単一のマルウェアとその名前をスキャンした結果を示しています。
明らかに、ウイルスに関する情報を名前で検索する場合、このウイルスが検出した製品である特定のベンダーを指定する価値があります。
しかし、誰がそのような名前を分解することに興味がありますか? より興味深いマルウェアのサンプルを選択し、i-and-iという名前のタイプで並べ替えることをお勧めします。ここに「ラボカード」があります。
ファイル拡張子別
サンプル名 :WannaCry。
目的 :ランサムウェアウイルス。
タイプ :暗号化ワーム。
流行は 2017年5月12日に始まりました。
被害 :150か国以上で50万台を超えるコンピューターに感染。
説明 :最近の最も有名なウイルスの1つ。 WannaCryは、暗号化されたファイルにマークを付けた拡張子「.wncry」によって大きな名前を得ました。 どうやら、「WN-cryptor」が暗示されていました。
サンプル名 :Duqu。
目的 :ランサムウェアウイルス。
タイプ :スパイワーム。
流行が始まった日付 :2011年9月1日。
損傷 :不明。
説明 :生成されたファイルに接頭辞「〜DQ」を付けた軍事ウイルスは、スターウォーズのドゥーク伯爵のようにDuquという名前を受け取りました。 感染方法は、Stuxnetバトルウイルスに似ていました。 Windowsカーネルでゼロデイ脆弱性MS11-087を使用し、システムにアクセスして、プロセス制御システムへのアクセスに使用できるデータ(パスワード、スクリーンショット)を収集し、コマンドサーバーに送信しました。 36日後に自己破壊。
地理的に
サンプル名 :エルサレム。
予定 :制御されない自己複製。
タイプ :古典的なウイルス。
流行が始まった日付 :1987年10月。
損傷 :不明。
説明 :最初の検出にちなんで名付けられた最初のウイルス。 その主な「メリット」は、制御されない増殖に加えて、このウイルスが独自の変更を多数生成したことです。
アクティベーション機能別
多くの場合、ウイルス開発者はブックマーク(「イースターエッグ」)を残し、そのコンテンツに名前を付けます。 原則として、これらはある種のジョーク、ボードゲームやコンピューターゲーム、書籍、ハッカーのサブカルチャーへの言及です。
サンプル名 :金曜日13日。
予定 :バイパー。
タイプ :古典的なウイルス。
流行が始まった日付 :1987
損傷 :不明。
説明 :エルサレムウイルスの改変。 アクティベーション方法で13日金曜日という名前を受け取りました。ウイルスは13日金曜日にのみアクティブ化され、コンピューター上のすべてのファイルを破壊しました。 どうやら、著者は技術時代の迷信をサポートしたかった!
開発者からの「ブックマーク」
サンプル名 :Cookie Monster。
予約 :コミックウイルス。
タイプ :ロッカー。
流行が始まった日付 :1970
被害 :当時のIT労働者の数十億の神経細胞。
説明 :率直に遊び心のあるウイルス。 Cookie Monsterは、表示されたウィンドウに「cookie」という単語を入力して、Cookieを提供するよう要求しました。
(注:フィルムハッカーの写真、ウイルスの元の写真は保存されませんでした。)
サンプル名 :メリッサ。
予定 :バイパー。
タイプ :マクロウイルス。
流行が始まった日付 :1999年3月26日。
損害 :米国政府が推定した8,000万ドル。
説明 :ウイルスは、悪意のある添付ファイルで電子メールを介して拡散します。 つまり、マクロが組み込まれたMicrosoft Wordなどのファイル内。 その主なタスクは、OSにとって重要なファイルを変更または削除することでした。 感染後、ウイルスはアドレス帳から最初の50人の受信者に自分自身を送信しました。 これは、急速に広がるすべてのウイルスの祖先と考えられています。 名前は、レジストリキーの形式で「イースターエッグ」に由来します。
HKEY_CURRENT_USERSoftwareMicrosoftOffice»Melissa?»=«...by Kwyjibo»
配布方法別
ウイルスを広める方法はたくさんあります。 アナリストがウイルスに名前を付けると、特定の実装がインスピレーションになることもあります。
サンプル名 :ILOVEYOU(LoveLetter)。
予定 :制御されない自己複製。
タイプ :メールワーム。
流行は 2000年5月4日に始まりました。
被害 :世界中で300万台のコンピューターが感染し、100億から150億ドルの被害があります。 ギネス世界記録の記録保持者は、世界で最も破壊的なコンピューターウイルスです。
説明 :有名なILOVEYOUウイルスは、「LOVE-LETTER-FOR-YOU.txt.vbs」というメール添付ファイルで広がります。
彼はすべての被害者の連絡先に自分自身を送り、さらにIRCチャネルを使用して、WindowsシステムディレクトリにLOVE-LETTER-FOR-YOU.HTMファイルを作成しました。 ソーシャルエンジニアリングを拡散の基盤として使用した最初のウイルス。 また、その時点でWindowsスクリプト処理がデフォルトで有効になっており、拡張機能がデフォルトで非表示にされていたという事実も使用しました。
サンプル名 :アンナクルニコワ。
予定 :制御されない自己複製。
タイプ :メールワーム。
流行は 2011年2月11日に始まりました。
被害 :約200,000ドル。
説明 :有名なロシアのテニスプレーヤーとモデルにちなんで名付けられたウイルスは、アンナの写真を含むと伝えられる手紙で広がりました。 ただし、添付ファイルは悪意のあるプログラムにすぎません。 その前身であるILOVEYOUと同様に、ワームは電子メールの連絡先を介して自分自身を送信し、ソーシャルエンジニアリングを使用しました。
偶然
サンプル名 :CIH(チェルノブイリ)。
予定 :バイパー。
タイプ :常駐ウイルス。
流行が始まった日付 :1998年6月。
損害 :10億ドル。
説明 :チェルノブイリウイルスの作成者は、4月26日、ウイルスの発売を計画していたとき、チェルノブイリ事故の記念日であることを知らなかった可能性が高いです。 さらに、著者のイニシャル(Chen Inhao)は、ウイルスがCIHまたは「チェルノブイリ」と呼ばれるという事実に貢献しました。 しかし、ウイルスはこれにはまったく関係ないことを覚えておいてください。 システムが感染した後、ウイルスは重要な日付を待つために眠り、その発生後、ハードディスク上の最初の1024 KBをゼロで上書きし、パーティションテーブル全体を削除します。 しかし、それだけではありません。 ウイルスの「ペイロード」の2番目の部分も、FLASH BIOSを上書きしようとしました。 彼はそのような破壊的な結果を覚えています。 このウイルスは、ソフトウェア配布サーバー上のexeファイルに感染することにより広がりました。
その発見に関するメッセージの例を次に示します。
開発者のマーケティング会社に感謝
サンプル名 :ペティアとミーシャ(兄弟、どうやら)。
予約 :ランサムウェアウイルス。
タイプ :ランサムウェアトロイの木馬。
流行開始日 :2016年5月。
損傷 :不明。
説明 :PetyaおよびMishaランサムウェアウイルスには、非常に勤勉な開発者がいました。 Darknetでは、彼らは彼らの製品のための本当のPRキャンペーンを上演しました!
最初はロゴが作成されましたが、これはデフォルトでは赤でしたが、その後点滅し、1秒ごとに色が変わります-赤から緑、またはその逆です。
その後、ブランド変更が行われ、頭蓋骨が緑色に変わり、ウイルスのミニロゴが追加されました。
ハッカーがこれをすべて行ったのはなぜですか?
明らかに、彼らはすでにミーム「ロシアのハッカー」になったふりをするために名前を取った。 しかし、うまくいきませんでした。 ヤヌスは本当にワイルドに見えました:みんなは私たちに何が正しいのか分かりませんでした-イヴァン。
しかし、なぜすべてのPRキャンペーンなのでしょうか? そして、受け取った身代金の何パーセントかを購入して配布するようにウイルスが提供されたという事実! 実際、開発者はマルウェアディーラーとして働くことを全員に提案しました。 それはただ「インターネットでお金を稼ぐ」ことです。 確かに、スケジュールは「3年で1年」です。仕事をする年は3年です。
まとめ
毎日約50万の新しいウイルスの修正が世界中に出現しています。 それらのほとんどは分類名を取得し、ウイルス対策ソフトウェアのメモリにのみ残ります。 一意の名前を取得するのはごくわずかです。 情報セキュリティの歴史にその名を残すほぼ100パーセントの方法ですよね? 確かに、名声を楽しむ前に、用語を巻き戻さなければなりません=)
あなたが覚えているウイルスと、それらが何のために記憶されたかをコメントに書いてください。
Anton Bochkarev、情報セキュリティコンサルタント、Jet Infosystems