Petya, Misha, WannaCry, Friday 13th, Anna Kournikova… Имена компьютерных вирусов, вызвавших настоящие эпидемии в сети, долго остаются на слуху. Их постоянно повторяют СМИ, как правило, не вдаваясь в технические подробности и путая модификации между собой.

А вы когда-нибудь интересовались, как и кто дает имена вирусам? Ведь компьютерных зловредов много, их миллионы, и все надо как-то называть. Под катом — краткий экскурс в нейминг вирусов, троянов и прочей компьютерной нечисти.

Итак, чем же люди руководствуются, давая названия обнаруженным зловредам?

Имена-классификаторы

Когда в антивирусной лаборатории обнаруживают очередной вирус, аналитики «разбирают» его на части, изучают функциональность, а затем присваивают вирусу имя-идентификатор.

Имена унифицированы и напрямую зависят от возможностей вируса и его предшественника. Например, Backdoor.Win32.Odinaff.A – это вирус-backdoor («бэкдор»), то есть его основная задача обеспечить удаленный доступ к зараженной машине. Написан он под платформу Windows, в лаборатории вирусный аналитик дал ему название Odinaff. И это модификация A, его переписанная модификация будет иметь код B и так далее.

Имена-классификаторы могут отличаться от лаборатории к лаборатории. Вот, например, картинка из единой базы вирусов VirusTotal, демонстрирующая результаты проверки одного зловреда и его названия у различных производителей антивирусного ПО.



Очевидно, что при поиске информации о вирусе по его имени стоит указывать и конкретного вендора, продукт которого обнаружил данный вирус.

Но кому же интересно разбирать такие названия? Лучше выберем образцы вредоносов поинтереснее, отсортируем по типу получения названия и-и-и…, вот их «лабораторные карточки»!

По расширениям файлов

Имя образца: WannaCry.
Назначение: вирус-вымогатель.
Тип: червь-шифроващик.
Дата начала эпидемии: 12 мая 2017 года.
Ущерб: заражено более 500 тысяч компьютеров в более чем 150 странах мира.
Описание: один из самых известных вирусов последнего времени. Свое громкое имя WannaCry получил по расширению, которым он маркировал зашифрованные им файлы, – «.wncry». Хотя, судя по всему, подразумевалось «WN-cryptor».



Имя образца: Duqu.
Назначение: вирус-вымогатель.
Тип: червь-шпион.
Дата начала эпидемии: 1 сентября 2011 года.
Ущерб: неизвестен.
Описание: военный вирус, маркировавший создаваемые файлы префиксом «~DQ», получил имя Duqu, как тот самый Граф Дуку из «Звёздных войн». Способ заражения был аналогичен боевому вирусу Stuxnet. Использовал уязвимость нулевого дня MS11-087 в ядре Windows и, получив доступ к системе, собирал данные, которые могут быть использованы для доступа к АСУТП (пароли, скриншоты), и отправлял на командные серверы. Самоуничтожался через 36 дней.

По географическому принципу

Имя образца: Jerusalem.
Назначение: бесконтрольная саморепликация.
Тип: классический вирус.
Дата начала эпидемии: октябрь 1987 года.
Ущерб: неизвестен.
Описание: первый вирус, получивший название по месту первого обнаружения. Главная его «заслуга» в том, что помимо бесконтрольного размножения этот вирус породил еще и десятки собственных модификаций.

По особенностям активации

Очень часто разработчики вируса оставляют закладки («пасхалки»), и по их содержимому вирусу дают название. Как правило, это какие-нибудь шутки, отсылки к настольным или компьютерным играм, книгам и хакерской субкультуре.

Имя образца: Friday 13th.
Назначение: вайпер.
Тип: классический вирус.
Дата начала эпидемии: 1987 год.
Ущерб: неизвестен.
Описание: модификация вируса «Иерусалим». Название Friday 13th получил по способу активации: вирус активировался лишь в пятницу 13-го и уничтожал все файлы на компьютере. Видимо, авторы хотели поддержать суеверия в технологическую эпоху!

По «закладкам» от разработчиков

Имя образца: Cookie Monster.
Назначение: шуточный вирус.
Тип: локер.
Дата начала эпидемии: 1970 год.
Ущерб: миллиарды нервных клеток работников IT-сферы того времени.
Описание: откровенно шутливый вирус. Cookie Monster требовал дать ему печеньку, введя слово «cookie» в выводимом окне.


(Примечание: картинка из к/ф Хакеры, оригинальное фото вируса не сохранилось.)

Имя образца: Melissa.
Назначение: вайпер.
Тип: макро-вирус.
Дата начала эпидемии: 26 марта 1999 года.
Ущерб: 80 миллионов долларов по оценкам правительства США.
Описание: вирус распространялся через электронную почту, во вредоносном вложении. А именно, в файле типа Microsoft Word со встроенными макросами. Основная его задача заключалась в модификации или удалении критичных для ОС файлов. После заражения вирус рассылал себя первым 50-и адресатам из адресной книги. Считается родоначальником всех стремительно распространяющихся вирусов. Название же произошло от «пасхалки» в виде ключа реестра:
HKEY_CURRENT_USERSoftwareMicrosoftOffice»Melissa?»=«...by Kwyjibo»

По способу распространения

Способов распространения вирусов предостаточно. И иногда конкретная реализация становится источником вдохновения для аналитиков, когда они дают вирусу название.

Имя образца: ILOVEYOU(LoveLetter).
Назначение: бесконтрольная саморепликация.
Тип: почтовый червь.
Дата начала эпидемии: 4 мая 2000 года.
Ущерб: 3 миллиона компьютеров по всему миру заражено, 10-15 миллиардов долларов ущерба. Рекордсмен книги рекордов Гиннеса как самый разрушительный компьютерный вирус в мире.
Описание: знаменитый вирус ILOVEYOU распространялся в почтовом вложении с названием “LOVE-LETTER-FOR-YOU.txt.vbs”.



Он рассылал себя по всем контактам жертвы и даже использовал IRC-каналы, создавая файл LOVE-LETTER-FOR-YOU.HTM в системном каталоге Windows. Первый вирус, использовавший социальную инженерию как основу для распространения. Использовал также то обстоятельство, что в то время в Windows обработка скриптов была включена по умолчанию, а расширение было по умолчанию скрыто.

Имя образца: Anna Kournikova.
Назначение: бесконтрольная саморепликация.
Тип: почтовый червь.
Дата начала эпидемии: 11 февраля 2011 года.
Ущерб: около 200 000 долларов.
Описание: названный в честь известной российской теннисистки и фотомодели, вирус распространялся в письме, где якобы находилось фото Анны. Однако во вложении была только вредоносная программа. Как и его предшественник ILOVEYOU, червь рассылал себя по контактам электронной почты и использовал социальную инженерию.

По случайному стечению обстоятельств

Имя образца: CIH («Чернобыль»).
Назначение: вайпер.
Тип: резидентный вирус.
Дата начала эпидемии: июнь 1998 года.
Ущерб: 1 миллиард долларов.
Описание: создатель вируса «Чернобыль» скорее всего не знал о том, что 26 апреля, когда он планировал запуск своего вируса, – годовщина аварии на Чернобыльской АЭС. К тому же инициалы автора (Чэнь Инхао) поспособствовали тому, чтобы вирус назвали CIH, или «Чернобыль». Но помнят вирус совсем не за это. После заражения системы вирус спал, ожидая ключевой даты, а после ее наступления перезаписывал первые 1024 КБ на жестком диске нулями, удаляя всю таблицу партиций. Но и это еще не все. Вторая часть «полезной нагрузки» вируса пыталась перезаписать и FLASH BIOS. Столь разрушительными последствиями он и памятен. Распространялся вирус путем заражения exe-файлов на серверах, распространяющих ПО.

Вот пример сообщения о его обнаружении:

Благодаря маркетинговой компании разработчиков

Имя образца: Петя и Миша (братья, видимо).
Назначение: вирусы-вымогатели.
Тип: троянцы-шифровальщики.
Дата начала эпидемии: май 2016 года.
Ущерб: неизвестен.
Описание: у вирусов-шифровальщиков Petya и Misha были очень старательные разработчики. В Даркнете они устроили самую настоящую пиар-акцию своим продуктам!



Вначале был создан логотип, который по умолчанию был красным, но потом мигал, каждую секунду меняя цвета – с красного на зеленый и обратно.

Потом был проведен ребрендинг, череп стал только зеленым, и к нему добавили еще и мини-логотипы вирусов.



Для чего хакеры всё это делали?

Очевидно, что имена они взяли, чтобы прикинуться уже превратившимися в мем «русскими хакерами». Но вышло не слишком удачно. Janus выглядел уж совсем дико: не знали ребята, что у нас правильно – Иван.

Но к чему вся пиар акция? А к тому, что вирусы предлагалось покупать и распространять за процент от полученного выкупа! Фактически, разработчики предлагали всем желающим поработать дилерами вредоносного ПО. Прямо-таки «заработок в интернете». Правда, с графиком «год через три»: год работаешь, три сидишь.

Резюме

Ежедневно в мире появляется около полумиллиона новых модификаций вирусов. Большинство из них получают названия-классификаторы и останутся лишь в памяти антивирусного ПО. И только единицы получают уникальные имена. Почти стопроцентный способ оставить свой след в истории информационной безопасности, так ведь? Правда, перед тем, как насладиться известностью, придется отмотать свой срок =)

Пишите в комментарии, какие вирусы запомнились именно вам, и чем же они запомнились.

Антон Бочкарев, консультант по ИБ компании «Инфосистемы Джет»