Petya, Misha, WannaCry, Friday 13th, Anna Kournikova… Имена компьютерных вирусов, вызвавших настоящие эпидемии в сети, долго остаются на слуху. Их постоянно повторяют СМИ, как правило, не вдаваясь в технические подробности и путая модификации между собой.

А вы когда-нибудь интересовались, как и кто дает имена вирусам? Ведь компьютерных зловредов много, их миллионы, и все надо как-то называть. Под катом — краткий экскурс в нейминг вирусов, троянов и прочей компьютерной нечисти.

Итак, чем же люди руководствуются, давая названия обнаруженным зловредам?

Имена-классификаторы


Когда в антивирусной лаборатории обнаруживают очередной вирус, аналитики «разбирают» его на части, изучают функциональность, а затем присваивают вирусу имя-идентификатор.

Имена унифицированы и напрямую зависят от возможностей вируса и его предшественника. Например, Backdoor.Win32.Odinaff.A – это вирус-backdoor («бэкдор»), то есть его основная задача обеспечить удаленный доступ к зараженной машине. Написан он под платформу Windows, в лаборатории вирусный аналитик дал ему название Odinaff. И это модификация A, его переписанная модификация будет иметь код B и так далее.

Имена-классификаторы могут отличаться от лаборатории к лаборатории. Вот, например, картинка из единой базы вирусов VirusTotal, демонстрирующая результаты проверки одного зловреда и его названия у различных производителей антивирусного ПО.



Очевидно, что при поиске информации о вирусе по его имени стоит указывать и конкретного вендора, продукт которого обнаружил данный вирус.

Но кому же интересно разбирать такие названия? Лучше выберем образцы вредоносов поинтереснее, отсортируем по типу получения названия и-и-и…, вот их «лабораторные карточки»!

По расширениям файлов


Имя образца: WannaCry.
Назначение: вирус-вымогатель.
Тип: червь-шифроващик.
Дата начала эпидемии: 12 мая 2017 года.
Ущерб: заражено более 500 тысяч компьютеров в более чем 150 странах мира.
Описание: один из самых известных вирусов последнего времени. Свое громкое имя WannaCry получил по расширению, которым он маркировал зашифрованные им файлы, – «.wncry». Хотя, судя по всему, подразумевалось «WN-cryptor».



Имя образца: Duqu.
Назначение: вирус-вымогатель.
Тип: червь-шпион.
Дата начала эпидемии: 1 сентября 2011 года.
Ущерб: неизвестен.
Описание: военный вирус, маркировавший создаваемые файлы префиксом «~DQ», получил имя Duqu, как тот самый Граф Дуку из «Звёздных войн». Способ заражения был аналогичен боевому вирусу Stuxnet. Использовал уязвимость нулевого дня MS11-087 в ядре Windows и, получив доступ к системе, собирал данные, которые могут быть использованы для доступа к АСУТП (пароли, скриншоты), и отправлял на командные серверы. Самоуничтожался через 36 дней.

По географическому принципу


Имя образца: Jerusalem.
Назначение: бесконтрольная саморепликация.
Тип: классический вирус.
Дата начала эпидемии: октябрь 1987 года.
Ущерб: неизвестен.
Описание: первый вирус, получивший название по месту первого обнаружения. Главная его «заслуга» в том, что помимо бесконтрольного размножения этот вирус породил еще и десятки собственных модификаций.

По особенностям активации


Очень часто разработчики вируса оставляют закладки («пасхалки»), и по их содержимому вирусу дают название. Как правило, это какие-нибудь шутки, отсылки к настольным или компьютерным играм, книгам и хакерской субкультуре.

Имя образца: Friday 13th.
Назначение: вайпер.
Тип: классический вирус.
Дата начала эпидемии: 1987 год.
Ущерб: неизвестен.
Описание: модификация вируса «Иерусалим». Название Friday 13th получил по способу активации: вирус активировался лишь в пятницу 13-го и уничтожал все файлы на компьютере. Видимо, авторы хотели поддержать суеверия в технологическую эпоху!

По «закладкам» от разработчиков


Имя образца: Cookie Monster.
Назначение: шуточный вирус.
Тип: локер.
Дата начала эпидемии: 1970 год.
Ущерб: миллиарды нервных клеток работников IT-сферы того времени.
Описание: откровенно шутливый вирус. Cookie Monster требовал дать ему печеньку, введя слово «cookie» в выводимом окне.


(Примечание: картинка из к/ф Хакеры, оригинальное фото вируса не сохранилось.)

Имя образца: Melissa.
Назначение: вайпер.
Тип: макро-вирус.
Дата начала эпидемии: 26 марта 1999 года.
Ущерб: 80 миллионов долларов по оценкам правительства США.
Описание: вирус распространялся через электронную почту, во вредоносном вложении. А именно, в файле типа Microsoft Word со встроенными макросами. Основная его задача заключалась в модификации или удалении критичных для ОС файлов. После заражения вирус рассылал себя первым 50-и адресатам из адресной книги. Считается родоначальником всех стремительно распространяющихся вирусов. Название же произошло от «пасхалки» в виде ключа реестра:
HKEY_CURRENT_USERSoftwareMicrosoftOffice»Melissa?»=«...by Kwyjibo»

По способу распространения


Способов распространения вирусов предостаточно. И иногда конкретная реализация становится источником вдохновения для аналитиков, когда они дают вирусу название.

Имя образца: ILOVEYOU(LoveLetter).
Назначение: бесконтрольная саморепликация.
Тип: почтовый червь.
Дата начала эпидемии: 4 мая 2000 года.
Ущерб: 3 миллиона компьютеров по всему миру заражено, 10-15 миллиардов долларов ущерба. Рекордсмен книги рекордов Гиннеса как самый разрушительный компьютерный вирус в мире.
Описание: знаменитый вирус ILOVEYOU распространялся в почтовом вложении с названием “LOVE-LETTER-FOR-YOU.txt.vbs”.



Он рассылал себя по всем контактам жертвы и даже использовал IRC-каналы, создавая файл LOVE-LETTER-FOR-YOU.HTM в системном каталоге Windows. Первый вирус, использовавший социальную инженерию как основу для распространения. Использовал также то обстоятельство, что в то время в Windows обработка скриптов была включена по умолчанию, а расширение было по умолчанию скрыто.

Имя образца: Anna Kournikova.
Назначение: бесконтрольная саморепликация.
Тип: почтовый червь.
Дата начала эпидемии: 11 февраля 2011 года.
Ущерб: около 200 000 долларов.
Описание: названный в честь известной российской теннисистки и фотомодели, вирус распространялся в письме, где якобы находилось фото Анны. Однако во вложении была только вредоносная программа. Как и его предшественник ILOVEYOU, червь рассылал себя по контактам электронной почты и использовал социальную инженерию.



По случайному стечению обстоятельств


Имя образца: CIH («Чернобыль»).
Назначение: вайпер.
Тип: резидентный вирус.
Дата начала эпидемии: июнь 1998 года.
Ущерб: 1 миллиард долларов.
Описание: создатель вируса «Чернобыль» скорее всего не знал о том, что 26 апреля, когда он планировал запуск своего вируса, – годовщина аварии на Чернобыльской АЭС. К тому же инициалы автора (Чэнь Инхао) поспособствовали тому, чтобы вирус назвали CIH, или «Чернобыль». Но помнят вирус совсем не за это. После заражения системы вирус спал, ожидая ключевой даты, а после ее наступления перезаписывал первые 1024 КБ на жестком диске нулями, удаляя всю таблицу партиций. Но и это еще не все. Вторая часть «полезной нагрузки» вируса пыталась перезаписать и FLASH BIOS. Столь разрушительными последствиями он и памятен. Распространялся вирус путем заражения exe-файлов на серверах, распространяющих ПО.

Вот пример сообщения о его обнаружении:



Благодаря маркетинговой компании разработчиков


Имя образца: Петя и Миша (братья, видимо).
Назначение: вирусы-вымогатели.
Тип: троянцы-шифровальщики.
Дата начала эпидемии: май 2016 года.
Ущерб: неизвестен.
Описание: у вирусов-шифровальщиков Petya и Misha были очень старательные разработчики. В Даркнете они устроили самую настоящую пиар-акцию своим продуктам!



Вначале был создан логотип, который по умолчанию был красным, но потом мигал, каждую секунду меняя цвета – с красного на зеленый и обратно.

Потом был проведен ребрендинг, череп стал только зеленым, и к нему добавили еще и мини-логотипы вирусов.



Для чего хакеры всё это делали?

Очевидно, что имена они взяли, чтобы прикинуться уже превратившимися в мем «русскими хакерами». Но вышло не слишком удачно. Janus выглядел уж совсем дико: не знали ребята, что у нас правильно – Иван.

Но к чему вся пиар акция? А к тому, что вирусы предлагалось покупать и распространять за процент от полученного выкупа! Фактически, разработчики предлагали всем желающим поработать дилерами вредоносного ПО. Прямо-таки «заработок в интернете». Правда, с графиком «год через три»: год работаешь, три сидишь.



Резюме


Ежедневно в мире появляется около полумиллиона новых модификаций вирусов. Большинство из них получают названия-классификаторы и останутся лишь в памяти антивирусного ПО. И только единицы получают уникальные имена. Почти стопроцентный способ оставить свой след в истории информационной безопасности, так ведь? Правда, перед тем, как насладиться известностью, придется отмотать свой срок =)

Пишите в комментарии, какие вирусы запомнились именно вам, и чем же они запомнились.

Антон Бочкарев, консультант по ИБ компании «Инфосистемы Джет»

Комментарии (12)


  1. staticlab
    08.09.2017 15:00
    +10

    Очевидно, что имена они взяли, чтобы прикинуться уже превратившимися в мем «русскими хакерами». Но вышло не слишком удачно. Janus выглядел уж совсем дико: не знали ребята, что у нас правильно – Иван.

    http://jamesbond.wikia.com/wiki/GoldenEye_(weapon)


    GoldenEye was subsequently hijacked by the Janus Syndicate from its Russian control facility at Severnaya, Russia and was instrumental in Alec Trevelyan's vengeful plot to decimate Britain's financial economy.

    A collection of equipment made up the GoldenEye, each playing an intricate part in the use of the weapon. Firstly, the weapon consisted of two disposable satellites designated "Petya" and "Mischa", each one armed with a nuclear warhead


    1. Antxak Автор
      08.09.2017 15:11
      +1

      Ах и тут «пасхалка», надо же!
      Для этого эта статья и была написана, пообщаться о названиях вирусов и поделиться мнениями, знаниями, спасибо за информацию!


      1. staticlab
        08.09.2017 16:17

        А статью исправлять будете?


        1. Antxak Автор
          08.09.2017 16:32

          Если хотите, добавлю внизу как UPD:


          1. staticlab
            08.09.2017 16:57
            +4

            Да лучше просто исправьте как должно быть.


  1. foxovsky
    08.09.2017 16:05

    Ещё достаточно часто названия дают по ссылке на .pdb файл (в случае, если малварь написана на C++), тем самым называя обнаруженный вирус тем именем, которое ему дал автор.


  1. NeoCode
    08.09.2017 16:34
    +2

    В стародавние времена вроде бы Лозинский распространял вместе со своим антивирусом текстовый файл с красочными и захватывающими описаниями вирусов. Я этим делом зачитывался:)
    А еще интересно откуда пошло странное слово «зловред». Раньше не было и с какого-то момента появилось. По моему это Евгений Касперский запустил такое слово.


  1. mike_y_k
    08.09.2017 18:10
    +1

    А в итоге было бы неплохо создать им всем нормальную и однозначную систему идентификации. Заодно и поэтичного шума вокруг стало бы меньше. Журналистам совсем не в кайф было бы раздувать мыльный пузырь с hex названием ;). Осталась бы только голая информация, без истерик. Ну и единая база с описанием, первым поймавшим и прочая…


    1. staticlab
      08.09.2017 18:19

      С hex-названиями было бы неудобно работать самим аналитикам.


    1. Maccimo
      08.09.2017 20:18
      +2

      Тогда журналисты начали бы сами названия выдумывать. Ещё и послания от инопланетян в hex-числе нашли бы.


  1. dzmitry_li
    09.09.2017 09:50

    OneHalf — вот один из примечательных вирусов! (учитывая что в последний раз лечил его в 2004 году!)


  1. ixer
    10.09.2017 09:32

    А я вот запомнил вируш «Нешта», довольно деструктивный. А рядом с ним и Sality. Были времена когда по пол дня приходилось сидеть за чужими компами в попытках излечить.