Lesen und Verstehen von Malware-Namen

 

Sie sind verwirrt über die Ergebnisse Ihres Antivirus? Damit sind Sie nicht allein. Dieser Guide wird versuchen, zu erklären, was verschiedene Namen bedeuten und wie Sie mehr Informationen zu den Parasiten erhalten. Malware-Detektion ist nie benutzerfreundlich. Oft versuchen die Urheber von Anti-Malware, Sie davon zu überzeugen, dass sie einen tollen Job gemacht haben und denken, das genügt.

Das Problem damit ist das Folgende: Antiviren-Hersteller vergessen oder ignorieren die Tatsache, dass Sie vielleicht mehr Information über den Parasiten brauchen, z.B. in den folgenden Fällen:

  1. Wie soll man herausfinden, ob die Infektion bestimmte Daten kompromittiert hat?
  2. Was wenn das Programm selbst fragwürdig ist und die Ergebnisse Falschmeldungen sind?
  3. Was wenn das Problem permanent immer wieder erscheint?

Um diese Fragen beantworten zu können, muss man die Begriffe von Anti-Malware-Programmen kennen und verstehen können. Man sollte auch wissen, wie der Parasit in anderen Quellen genannt werden könnte.

Wie benennen Anti-Malware-Urheber die Parasiten?

Die Wahrheit ist, dass es viele Wege gibt, um Parasiten-Namen zu konstruieren. Diese sind selten benutzerfreundlich und haben nur zum Zweck, Parasiten in der Anti-Virus-Datenbank zu identifizieren. Die meisten Antiviren-Hersteller möchten ihre Daten richtig sortieren und deshalb werden verwandte Parasiten ähnlich benannt. Die Entdeckung eines Virus hat 2 bis 5 Phasen:

  1. Funktion der Malware(Backdoor, Adware, Spyware, Agent/Generic,Downloader, Rogue, Hijacker etc). Dies definiert, was der Parasit in Ihrem System machen wird und welche Symptome Sie sehen werden. Anmerkung: Manche Antiviren benutzen grobere Klassifikation und andere wiederum – feinere. Hier möchten wir auch HEUR oder Verhaltenserkennung erwähnen, was heißt, dass der Parasit unbekannt ist und verdächtig wirkt, weil er bösartigen Code benutzt.
  2. Die Plattform oder OS, auf welcher er der Virus funktioniert(Win32/W32, OSX, Android, Symbian, JS/HTML, Linux, etc). Das zeigt, wo ein bestimmter Virus operieren kann, heißt aber nicht, dass er nicht auch andere Plattformen infizieren kann. Z.B., könnte der JS.Injector versuchen, Windows- oder Mac-Trojaner zu installieren, aber das geht nur, wenn Sie die infizierte Seite öffnen.
  3. Verteilungsart(Virus,Trojan,Worm). Während Viren Dateien infizieren, ersetzen oder imitiern Trojaner gutartige Dateien und Würmer versuchen, sich mit Hilfe von verschiedenen Schwachstellen selbst zu installieren. Es gibt den speziellen Fall der potenziell unerwünschten Programme(PUP, PUA, “Not a virus” oder Bündel), die von den Benutzern selbst installierte Applikationen sind, jedoch auch unerwünschte Funktionen haben oder falsch beschrieben wurden.
  4. “Benutzerfreundlicher” Name der Parasiten-Familie. Typischerweise wird der Name nach einem bestimmten Symptom oder String aus der Malware-Datei gewählt. Manchmal wird auch ein Name aus einem anderen Anti-Malware-Tool benutzt. Üblicherweise besteht era us dem letzten Teil des vollständigen Parasiten-Namen.
  5. Die Version des Parasiten, falls es mehr als eine Version gibt. Typischerweise ist das der letzte Teil des Parasiten-Namens.

Ein paar Beispiele:

Trojan.Generic oder Trojan.Agent oder Trojan.Win32 – Trojaner-Parasit ohne spezifische Informationen über Familie oder Funktion. Es ist offensichtlich, dass Sie für weitere Informationen einen Scan mit einem anderen Tool durchführen oder die Information auf VirusTotal oder einem ähnlichen Scanning-Service hochladen müssen. Das Ergebnis könnte auch eine Falschmeldung sein.

W32.Downadup.b – Windows 32 bit Parasit der Downdup Familie, Version B.

Während viele Antiviren-Hersteller ihre Datenbanken online veröffentlichen, ist der beste Weg zur Untersuchung der Detektion, die Malware-Familie ausfindig zu machen und danach benutzerfreundliche Informationen über sie zu finden. In komplexeren Fällen kann dies mit dem Hochladen des Parasiten auf VirusTotal gemacht werden.