Comprendre la nomenclature des antivirus
Page 1 sur 1 • Partager •
Comprendre la nomenclature des antivirus
par sioban le Mar 19 Jan 2010 - 16:05
Voici une liste de différentes catégories de malwares et de
détection de menaces des antivirus.
Le but de cette page étant de vous aider à mieux
comprendre les types de menaces qui existent et de mieux comprendre à quoi vous
avez à faire lors d'une éventuelle détection par votre antivirus.
En espérant que cette page vous aidera à y voir plus clair
lors d'une détection éventuelle par votre antivirus ou lors de l'utilisation de Virustotal.
Cette liste est issue du site de Malekal que j'ai légèrement retouchée et que j'utilise avec son accord. Ce n'est qu'une extraction de l'article que vous trouverez au complet sur son site.
Source : http://forum.malekal.com/viewtopic.php?f=45&t=17042
Catégorie de menaces
Adware : Logiciel publicitaire qui ouvre des popups de publicités. Des adwares peuvent être installés par des programmes dits gratuits pour rémunérer les auteurs.
-> Voir Prévention : Logiciels et sources de téléchargements
Backdoor : Malware permettant le contrôle à distance d'un PC par un pirate. Un réseau de PC infectés est un botnet.
-> Se reporter à PC Zombi
Trojan : Malware c**çu pour effectuer diverses tâches à l'insu de l'utilisateur. Cela peut aller de l’installation d'autres malwares, à la désactivation de certains logiciels de protections (antivirus, pare-feu etc), en passant par l’envoi de mails de SPAM ou bien d'autres fonctionnalités.
Keylogger : Malware enregistrant les frappes claviers afin de dérober des mots de passe ou autres informations susceptibles d'être recueillies par un pirate pour les revendre (adresse email, CB etc), obtenir un accès sur un serveur etc.
Spyware : Malware c**çu pour dérober/collecter des informations/données. Un spyware peut avoir des fonctionnalités de keylogger.
Ransomware : Malware qui a pour but d'empêcher l'accès aux documents de l'utilisateur du PC (en général en cryptant les documents), une somme est en suite demandée à l'utilisateur pour lui donner à nouveau accès à ses documents.
RiskTool/HackTool : Outils qui peuvent[u][/u] être utilisés par des pirates pour infecter ou accéder à l'ordinateur. Le « peuvent » est important, un RistkTool (en français outils à risque) n'est pas forcément néfaste. Tout dépend de l'utilisation que l'on en fait.
Par exemple un RiskTool peut être un programme qui permet de redémarrer l'ordinateur ou d’arrêter un processus tiers. Un pirate peut utiliser ce programme pour arrêter le processus d'un antivirus mais le programme peut aussi être utilisé pour arrêter un processus néfaste dans le cas d'un fix.
Lors de la détection d'un RiskTool, c'est à l'utilisateur d'évaluer si ce dernier
est néfaste ou pas.
Détections par type / nom générique : Ces détections désignent des types de Trojans (Chevaux de Troies).
Certaines peuvent donner des indications quant au but du malware (spammer, voler des données, etc.) mais ce n'est pas nécessairement le cas.
La détection peut-être de type générique, on trouve alors souvent la notation « .gen » ou « generic » dans la détection ou une signature.
Certains antivirus utilisent des « . » pour séparer les informations dans les détections, d'autres des « / ».
Les différentes détections ajoutées sont mentionnées par une suite de lettre ou des chiffres.
Par exemple chez Kaspersky, c'est une suite de lettre à la fin : Trojan-Downloader.Win32.Agent.bfyq, le prochain Trojan-Downloader.Win32.Agent ajouté sera donc « .bfyr », etc.
Dr.Web lui utilise des chiffres : BackDoor.IRC.Sdbot.4591.
Avira utilise aussi des suites de lettres mais par exemple dans le cas de SDBot, ce dernier utilise la taille des fichiers : DR/Sdbot.97792.
Certains malwares peuvent être englobés dans divers types différents.
Par exemple, un malware peut se propager par MSN (IM-Worm) mais aussi par disques amovibles (Worm.Autorun), dans le cas d'un scan VirusTotal, on peut donc obtenir sur les antivirus des noms/types différents.
Backdoor : Désigne des malwares donnant la possibilité de contrôle à distance aux pirates, transformant donc le PC en question en PC
Zombi. Le malware peut être un simple processus ou un rootkit.
De même, la manière de prise de contrôle peut être différente. Par exemple, sur une Backdoor.IRC, la prise de contrôle se fait à partir d'un réseau IRC alors que d'autres contrôles peuvent se faire par HTTP etc.
Exploit.HTML - Bloodhound.Exploit.196 (Symantec) : Exploit en HTML, la plupart du temps se trouve dans le cache internet. Sert donc de tremplin pour infecter un PC en exploitant une faille sur le système ou un logiciel tiers.
Pour plus d'informations, se reporter à la page Les Exploits sur les sites WEB piégés.
Exploit.PDF / Exploit.Win32.Pdf.G / EXP/PDF / Mal/PDFEx-X (Sophos) : Exploit sous la forme d'un PDF exploitant une vulnérabilité d’un lecteur/éditeur de PDF (souvent celui d'Adobe Reader car c’est le plus répandu).
Pour plus d'informations, se reporter à la page : Exploitation SWF/PDF et Java - système non à jour = danger.
L'exploit peut être sous la forme d'un JS contenu dans le stream du PDF, dans ce cas l'exploit peut prendre le nom : Exploit.Win32.Pdfjsc.G / Exploit.PDF-JS.Gen.
Exploit.SWF : Exploit sous la forme d'un SWF (Flash) exploitant une vulnérabilité d’un player Flash (souvent celui d'Adobe car c’est e plus répandu).
Pour plus d'informations, se reporter à la page : Exploitation SWF/PDF et Java - système non à jour = danger.
HTML.IFrame / Trojan.IFrame.HTML : IFrame infection contenu sur une page WEB (HTML) infectieuse.
L'iframe peut rediriger vers un exploit (donc Exploit.HTML) pour infecter l'ordinateur.
Elle peut être de la forme Trojan-Clicker.HTML bouclant sur des publicités/ouvrant de multiples popups de pubs, etc.
Pour plus d'informations, se reporter à la page Les Exploits sur les sites WEB piégés.
IM-Worm.xxx : Vers se propageant par messagerie instantanée.
Rootkit.Agent : Désigne un rootkit au sens large du terme. Notation chez Dr.Web : Trojan.NtRootKit.xxx.
SpamTool.Win32.xxxx / Trojan.Spambotb : Trojan qui a pour but d'envoyer des mails de SPAM. Exemple : Win32/SpamTool.Agent.NAJ
SpamTool.Win32.Agent.n.
Sdbot / Rbot / Spybot : Désigne un type de malware se propageant via des failles systèmes à distance (RPC, etc.). Comme le faisait Blaster dans le temps ou Conficker plus récemment.
Un Sdbot / Rbot / Spybot peut aussi être une Backdoor.IRC puisque ce dernier peut se connecter à un réseau IRC afin que le PC puisse être contrôlé par le pirate.
Trojan.Agent : Désigne un trojan au sens large du terme. Le trojan peut avoir divers buts. Exemple : TR/Agent.NWI.1 (Antivir).
Trojan.BHO : Trojan installé en BHO sur le système.
Trojan.BOT : Trojan qui permet de prendre le contrôle du PC en le faisant joindre un botnet. Le PC est alors transformé en PC en PC Zombi.
Exemple : Il en existe divers types comme SDBot/RBot, SpamBot, IRCBot etc. ou familles : Backdoor.Win32.VanBot.cg
Trojan-Clicker : Trojan qui surfe à l'insu de l'utilisateur. Ce dernier peut faire des requêtes sur des moteurs de recherches pour augmenter le ranking de certains sites.
Surfer sur des sites pour augmenter les hits, revenus pubs etc.
Trojan.Delf : Désigne un trojan en Delphi.
Trojan.Dropper : Trojan droppant un malware sur le système. Exemple : Win32/TrojanDropper.Delf.NFK - Trojan Dropper écrit en Delphi.
Si le dropper installe une famille de malware spécifique, le nom de la famille peut apparaître. Exemple : Trojan-Dropper.Win32.BeJoin.c.
Trojan.Downloader : Trojan qui télécharge d'autres malwares. Le Trojan.Downloader peut être décliné avec diverses autres infos comme par exemple Trojan.Downloader.Small (Trojan Downloader de petite taille), Trojan-Downloader.JS : Trojan Downloader en JavaScript.
Trojan.Inject : Malware capable d'injecter des données dans des processus en mémoire. Par exemple, cela peut être utilisé pour manipuler svchost.exe afin de télécharger des codes malveillants.
Trojan.OnlineGames ou W32/OnlineGames ou Trojan.PSWLineage ou Trojan-GameThief : Désigne une catégorie de trojans qui ont pour but de voler les informations de connexions de jeu en ligne. Le but étant de revendre les objets ou autres pour faire de l'argent.
Ex : Trojan.Win32.Obfuscated.gl
Trojan.Patched / Trojan.Win32.Patched : Fichiers systèmes Windows légitimes patchés par une infection. Les fichiers peuvent être winlogon.exe, svchost.exe ou des drivers ndis.sys etc.
Trojan.Proxy : Trojan qui permet l'utilisation du PC infecté comme proxy. Le pirate peut se connecter ou effectuer diverses actions (scans, etc.) en utilisant le PC infecté pour se cacher.
Trojan.PWS / Trojan.PSW : Désigne un Trojan qui a pour but de voler des informations/données, PWS voulant dire password (mot de passe). Le nom derrière peut être suivi d'une information supplémentaire par exemple Trojan-PSW:W32/OnlineGames vole les informations des comptes de jeu en ligne, Trojan.PWS.Banker est axé sur les informations de comptes de banque. Le nom derrière peut désigner une famille de malware.
Trojan.Ransom : Trojan Ransom est un type de cheval de troie qui crypte les fichiers ou documents et demande une « rançon » à l'utilisateur afin que ce dernier puisse à nouveau accéder à ses documents.
Trojan.Small : Désigne un trojan de petite taille de fichiers.
Trojan.Tiny : Désigne un trojan de petite taille de fichiers.
Trojan.VB : Désigne un trojan écrit en Visual Basic. Exemple : Trojan.Win32.VB.xxx / W32/VB.BFB
Worms.Autorun : Désigne un ver ayant la possibilité de se propager par disques amovibles (création de fichiers autorun.inf).
Quelques détections heuristiques/génériques selon les antivirus.
Ces détections permettent de détecter un code malveillant mais ne donne aucune indication quant aux types de menaces auxquels on a affaire. Il se peut aussi que la menace n'en soit pas une !
- Mal/Heuri-xxx (Sophos)
- Heuristic.Malware (Prevx)
- HEUR/Malware (Antivir)
- Win32:Trojan-gen.{Other} (Avast!)
- VIPRE.Suspicious (Sunbelt)
- Malware Generic ou Suspicious file (Panda)
- Generic.Malware.SYBddld!.xxxxxxx (BitDefender)
- New Malware.xxx (McAfee)
- Heuristic.(Kaspersky)
Quelques détections de packers :
- TR/Crypt.XPACK.Gen
- PCK/FSG
- TR/Crypt.Morphine.Gen (Antivir)
- Trojan.Win32.Pakes.xxxx (F-Secure / Kaspersky)
- VirTool:Win32/Obfuscator.x (Microsoft)
- Packed.Win32.CryptExe (F-Secure / Kaspersky)
- Cryp_Morphine (Trend-Micro)
- Trojan.Packed.xxx (Dr-Web)
détection de menaces des antivirus.
Le but de cette page étant de vous aider à mieux
comprendre les types de menaces qui existent et de mieux comprendre à quoi vous
avez à faire lors d'une éventuelle détection par votre antivirus.
En espérant que cette page vous aidera à y voir plus clair
lors d'une détection éventuelle par votre antivirus ou lors de l'utilisation de Virustotal.
Cette liste est issue du site de Malekal que j'ai légèrement retouchée et que j'utilise avec son accord. Ce n'est qu'une extraction de l'article que vous trouverez au complet sur son site.
Source : http://forum.malekal.com/viewtopic.php?f=45&t=17042
Catégorie de menaces
Adware : Logiciel publicitaire qui ouvre des popups de publicités. Des adwares peuvent être installés par des programmes dits gratuits pour rémunérer les auteurs.
-> Voir Prévention : Logiciels et sources de téléchargements
Backdoor : Malware permettant le contrôle à distance d'un PC par un pirate. Un réseau de PC infectés est un botnet.
-> Se reporter à PC Zombi
Trojan : Malware c**çu pour effectuer diverses tâches à l'insu de l'utilisateur. Cela peut aller de l’installation d'autres malwares, à la désactivation de certains logiciels de protections (antivirus, pare-feu etc), en passant par l’envoi de mails de SPAM ou bien d'autres fonctionnalités.
Keylogger : Malware enregistrant les frappes claviers afin de dérober des mots de passe ou autres informations susceptibles d'être recueillies par un pirate pour les revendre (adresse email, CB etc), obtenir un accès sur un serveur etc.
Spyware : Malware c**çu pour dérober/collecter des informations/données. Un spyware peut avoir des fonctionnalités de keylogger.
Ransomware : Malware qui a pour but d'empêcher l'accès aux documents de l'utilisateur du PC (en général en cryptant les documents), une somme est en suite demandée à l'utilisateur pour lui donner à nouveau accès à ses documents.
RiskTool/HackTool : Outils qui peuvent[u][/u] être utilisés par des pirates pour infecter ou accéder à l'ordinateur. Le « peuvent » est important, un RistkTool (en français outils à risque) n'est pas forcément néfaste. Tout dépend de l'utilisation que l'on en fait.
Par exemple un RiskTool peut être un programme qui permet de redémarrer l'ordinateur ou d’arrêter un processus tiers. Un pirate peut utiliser ce programme pour arrêter le processus d'un antivirus mais le programme peut aussi être utilisé pour arrêter un processus néfaste dans le cas d'un fix.
Lors de la détection d'un RiskTool, c'est à l'utilisateur d'évaluer si ce dernier
est néfaste ou pas.
Détections par type / nom générique : Ces détections désignent des types de Trojans (Chevaux de Troies).
Certaines peuvent donner des indications quant au but du malware (spammer, voler des données, etc.) mais ce n'est pas nécessairement le cas.
La détection peut-être de type générique, on trouve alors souvent la notation « .gen » ou « generic » dans la détection ou une signature.
Certains antivirus utilisent des « . » pour séparer les informations dans les détections, d'autres des « / ».
Les différentes détections ajoutées sont mentionnées par une suite de lettre ou des chiffres.
Par exemple chez Kaspersky, c'est une suite de lettre à la fin : Trojan-Downloader.Win32.Agent.bfyq, le prochain Trojan-Downloader.Win32.Agent ajouté sera donc « .bfyr », etc.
Dr.Web lui utilise des chiffres : BackDoor.IRC.Sdbot.4591.
Avira utilise aussi des suites de lettres mais par exemple dans le cas de SDBot, ce dernier utilise la taille des fichiers : DR/Sdbot.97792.
Certains malwares peuvent être englobés dans divers types différents.
Par exemple, un malware peut se propager par MSN (IM-Worm) mais aussi par disques amovibles (Worm.Autorun), dans le cas d'un scan VirusTotal, on peut donc obtenir sur les antivirus des noms/types différents.
Backdoor : Désigne des malwares donnant la possibilité de contrôle à distance aux pirates, transformant donc le PC en question en PC
Zombi. Le malware peut être un simple processus ou un rootkit.
De même, la manière de prise de contrôle peut être différente. Par exemple, sur une Backdoor.IRC, la prise de contrôle se fait à partir d'un réseau IRC alors que d'autres contrôles peuvent se faire par HTTP etc.
Exploit.HTML - Bloodhound.Exploit.196 (Symantec) : Exploit en HTML, la plupart du temps se trouve dans le cache internet. Sert donc de tremplin pour infecter un PC en exploitant une faille sur le système ou un logiciel tiers.
Pour plus d'informations, se reporter à la page Les Exploits sur les sites WEB piégés.
Exploit.PDF / Exploit.Win32.Pdf.G / EXP/PDF / Mal/PDFEx-X (Sophos) : Exploit sous la forme d'un PDF exploitant une vulnérabilité d’un lecteur/éditeur de PDF (souvent celui d'Adobe Reader car c’est le plus répandu).
Pour plus d'informations, se reporter à la page : Exploitation SWF/PDF et Java - système non à jour = danger.
L'exploit peut être sous la forme d'un JS contenu dans le stream du PDF, dans ce cas l'exploit peut prendre le nom : Exploit.Win32.Pdfjsc.G / Exploit.PDF-JS.Gen.
Exploit.SWF : Exploit sous la forme d'un SWF (Flash) exploitant une vulnérabilité d’un player Flash (souvent celui d'Adobe car c’est e plus répandu).
Pour plus d'informations, se reporter à la page : Exploitation SWF/PDF et Java - système non à jour = danger.
HTML.IFrame / Trojan.IFrame.HTML : IFrame infection contenu sur une page WEB (HTML) infectieuse.
L'iframe peut rediriger vers un exploit (donc Exploit.HTML) pour infecter l'ordinateur.
Elle peut être de la forme Trojan-Clicker.HTML bouclant sur des publicités/ouvrant de multiples popups de pubs, etc.
Pour plus d'informations, se reporter à la page Les Exploits sur les sites WEB piégés.
IM-Worm.xxx : Vers se propageant par messagerie instantanée.
Rootkit.Agent : Désigne un rootkit au sens large du terme. Notation chez Dr.Web : Trojan.NtRootKit.xxx.
SpamTool.Win32.xxxx / Trojan.Spambotb : Trojan qui a pour but d'envoyer des mails de SPAM. Exemple : Win32/SpamTool.Agent.NAJ
SpamTool.Win32.Agent.n.
Sdbot / Rbot / Spybot : Désigne un type de malware se propageant via des failles systèmes à distance (RPC, etc.). Comme le faisait Blaster dans le temps ou Conficker plus récemment.
Un Sdbot / Rbot / Spybot peut aussi être une Backdoor.IRC puisque ce dernier peut se connecter à un réseau IRC afin que le PC puisse être contrôlé par le pirate.
Trojan.Agent : Désigne un trojan au sens large du terme. Le trojan peut avoir divers buts. Exemple : TR/Agent.NWI.1 (Antivir).
Trojan.BHO : Trojan installé en BHO sur le système.
Trojan.BOT : Trojan qui permet de prendre le contrôle du PC en le faisant joindre un botnet. Le PC est alors transformé en PC en PC Zombi.
Exemple : Il en existe divers types comme SDBot/RBot, SpamBot, IRCBot etc. ou familles : Backdoor.Win32.VanBot.cg
Trojan-Clicker : Trojan qui surfe à l'insu de l'utilisateur. Ce dernier peut faire des requêtes sur des moteurs de recherches pour augmenter le ranking de certains sites.
Surfer sur des sites pour augmenter les hits, revenus pubs etc.
Trojan.Delf : Désigne un trojan en Delphi.
Trojan.Dropper : Trojan droppant un malware sur le système. Exemple : Win32/TrojanDropper.Delf.NFK - Trojan Dropper écrit en Delphi.
Si le dropper installe une famille de malware spécifique, le nom de la famille peut apparaître. Exemple : Trojan-Dropper.Win32.BeJoin.c.
Trojan.Downloader : Trojan qui télécharge d'autres malwares. Le Trojan.Downloader peut être décliné avec diverses autres infos comme par exemple Trojan.Downloader.Small (Trojan Downloader de petite taille), Trojan-Downloader.JS : Trojan Downloader en JavaScript.
Trojan.Inject : Malware capable d'injecter des données dans des processus en mémoire. Par exemple, cela peut être utilisé pour manipuler svchost.exe afin de télécharger des codes malveillants.
Trojan.OnlineGames ou W32/OnlineGames ou Trojan.PSWLineage ou Trojan-GameThief : Désigne une catégorie de trojans qui ont pour but de voler les informations de connexions de jeu en ligne. Le but étant de revendre les objets ou autres pour faire de l'argent.
Ex : Trojan.Win32.Obfuscated.gl
Trojan.Patched / Trojan.Win32.Patched : Fichiers systèmes Windows légitimes patchés par une infection. Les fichiers peuvent être winlogon.exe, svchost.exe ou des drivers ndis.sys etc.
Trojan.Proxy : Trojan qui permet l'utilisation du PC infecté comme proxy. Le pirate peut se connecter ou effectuer diverses actions (scans, etc.) en utilisant le PC infecté pour se cacher.
Trojan.PWS / Trojan.PSW : Désigne un Trojan qui a pour but de voler des informations/données, PWS voulant dire password (mot de passe). Le nom derrière peut être suivi d'une information supplémentaire par exemple Trojan-PSW:W32/OnlineGames vole les informations des comptes de jeu en ligne, Trojan.PWS.Banker est axé sur les informations de comptes de banque. Le nom derrière peut désigner une famille de malware.
Trojan.Ransom : Trojan Ransom est un type de cheval de troie qui crypte les fichiers ou documents et demande une « rançon » à l'utilisateur afin que ce dernier puisse à nouveau accéder à ses documents.
Trojan.Small : Désigne un trojan de petite taille de fichiers.
Trojan.Tiny : Désigne un trojan de petite taille de fichiers.
Trojan.VB : Désigne un trojan écrit en Visual Basic. Exemple : Trojan.Win32.VB.xxx / W32/VB.BFB
Worms.Autorun : Désigne un ver ayant la possibilité de se propager par disques amovibles (création de fichiers autorun.inf).
Quelques détections heuristiques/génériques selon les antivirus.
Ces détections permettent de détecter un code malveillant mais ne donne aucune indication quant aux types de menaces auxquels on a affaire. Il se peut aussi que la menace n'en soit pas une !
- Mal/Heuri-xxx (Sophos)
- Heuristic.Malware (Prevx)
- HEUR/Malware (Antivir)
- Win32:Trojan-gen.{Other} (Avast!)
- VIPRE.Suspicious (Sunbelt)
- Malware Generic ou Suspicious file (Panda)
- Generic.Malware.SYBddld!.xxxxxxx (BitDefender)
- New Malware.xxx (McAfee)
- Heuristic.(Kaspersky)
Quelques détections de packers :
- TR/Crypt.XPACK.Gen
- PCK/FSG
- TR/Crypt.Morphine.Gen (Antivir)
- Trojan.Win32.Pakes.xxxx (F-Secure / Kaspersky)
- VirTool:Win32/Obfuscator.x (Microsoft)
- Packed.Win32.CryptExe (F-Secure / Kaspersky)
- Cryp_Morphine (Trend-Micro)
- Trojan.Packed.xxx (Dr-Web)
sioban- Coadmin
- Nombre de messages: 15220
Localisation: Dans l'antre du forum
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum