Understanding virus names ~ Windows Administrator Blog

Tuesday, March 25, 2008

Understanding virus names

By dtp 5:17:00 AM No comments

บทความโดย: Thai Windows Administrator Blog

ถอดรหัสพันธุกรรมไวรัส
สำหรับผู้ใช้คอมพิวเตอร์ประจำอย่างเราๆ ท่านๆ ปัญหาไวรัสคอมพิวเตอร์คงเป็นหนึ่งในปัญหาที่ประสบกันบ่อยๆ โดยเฉพาะอย่างยิ่งถ้าท่านเป็นเจ้าหน้าที่แผนกไอทีที่ต้องซัพพอร์ตผู้ใช้ด้วยแล้ว คงจะเจอแทบทุกๆ วัน โดยไวรัสนั้นบางครั้งแต่ละบริษัทผู้พัฒนาอาจจะเรียกต่างๆ กัน บทความนี้จะเป็นการแนะนำข้อมูลเกียวกับชื่อไวรัส

โดยทั่วไปการตั้งชื่อไวรัสจะประกอบด้วย 4 ส่วน ประกอบไปด้วย คำนำหน้า (Prefix), ชื่อไวรัส (Virus Name), สายพันธ์ (Suffix หรือ Variant) และประเภทของไวรัส (Modifier) โดยระหว่าง คำนำหน้า, ชื่อไวรัส, สายพันธ์ นั้นจะขั้นด้วย . หรือ / และประเภทของไวรัสนั้นจะขึ้นต้นด้วย @ ลักษณะนี้
Prefix.Name.Suffix@Modifier

คำนำหน้า (Prefix)
คำนำหน้าไวรัสนั้นจะใช้ระบุชนิดของไวรัสหรือมัลแวร์ ซึ่งจะกำหนดจากระบบปฏิบัติการหรือโปรแกรมที่ได้รับผลกระทบ หรือภาษาที่ใช้ในการเขียนของไวรัส ตัวอย่างเช่น ไวรัสที่มีคำนำหน้าเป็น W32 เช่น W32.Blaster หรือ W32.Bagle หมายความว่ามีผลกระทบต่อระบบปฏิบัติการ Windows แบบ 32 บิต อันได้แก่ Windows 95, 98, 2000, 2003, XP, Me, NT 4.0 เป็นต้น

Virus Prefix

ชื่อไวรัส (Virus Name)
ชื่อไวรัสคือชื่อจริงของไวรัสที่เรานิยมเรียกกัน โดยชื่อไวรัสนั้นจะถูกกำหนดโดยผู้ที่เขียนไวรัสโดยการฝังอยู่ในโค้ดของตัวโปรแกรมไวรัส เช่น W32.Blaster ชื่อไวรัสคือ Blaster

สายพันธ์ (Suffix หรือ Variant)
โดยปกติเมื่อมีไวรัสตัวใดตัวหนึ่งระบาดเป็นครั้งแรก จะยังไม่มีการระบุชื่อสายพันธ์ ตัวอย่างเช่น W32.Blaster แต่หลังจากนั้นถ้ามีการพัฒนาไวรัสในลักษณะแบบเดียวกันก็จะเรียกไวรัสตัวใหม่นี้ว่าเป็นไวรัสสายพันธ์ W32.Blaster โดยจะเพิ่มส่วน Suffix โดยจะเริ่มจาก A-Z ซึ่งจะกลายเป็น W32.Blaster.A (หากมีสายพันธ์จำนวนเกิน 26 ก็จะเพิ่มเป็น 2 ตัวอักษร เช่น aa-zz หากยังไม่พอก็จะเพิ่มเป็น 3 ตัวอักษร ไปเรื่อยๆ)
นอกจากนี้ บางครั้งยังมีการตั้งชื่อตามสายพันธ์ย่อย (Minor Suffix) ซึ่งจะบอกถึงขนาดของไฟล์ไวรัส (บางครั้งตั้งตามวันที่ค้นพบไวรัสเป็นครั้งแรก) ตัวอย่างเช่น W32.Funlove.4099 หนอนชนิดนี้มีขนาด 4099 KB

ประเภทของไวรัส (Modifier)
ประเภทของไวรัสจะเป็นส่วนที่แสดงให้ทราบถึงวิธีการหรือช่องทางของการแพร่ระบาดของไวรัสหรือมัลแวร์ซึ่งจะมี 3 ตัว ดังนี้
@m โดย m หมายถึง mail หมายความว่าไวรัสหรือมัลแวร์แพร่ระบาดทางระบบอีเมล
@mm โดย mm หมายถึง mass mailler หมายความว่าไวรัสหรือมัลแวร์แพร่ระบาดทางระบบอีเมลโดยการส่งอีเมลครั้งละมากๆ
@dl โดย dl หมายถึง download หมายความว่าไวรัสหรือมัลแวร์แพร่ระบาดทางการดาวน์โหลด

ตัวอย่างไวรัส W32.Blaster.A@mm
ความหมายของไวรัสตัวนี้ คือ เป็นไวรัสที่ระบาดบนระบบปฏิบัติการ Windows 32 บิต ชื่อของไวรัสคือ Blaster เป็นไวรัสสายพันธุ์ A แพร่ระบาดทางระบบอีเมลโดยการส่งอีเมลครั้งละมากๆ

แหล่งข้อมูลอ้างอิง
• http://antivirus.about.com/od/whatisavirus/a/virusnames.htm

Copyright © 2008 All Rights Reserved.

วิธีแก้ไขเมื่อติดไวรัส killVBS.vbsแก้ไขล่าสุดเมื่อ: 10 ธันวาคม 2550 Trend Micro เรียกไวรัส killVBS.vbs ในชื่อว่าไวรัส VBS_PICA.AE สามารถอ่านรายละเอียดเกี่ยวกับไวรัสนี้ได้จาก ไวรัส VBS_PICA.AE การแก้ไขเมื่อติดไวรัส killVBS.vbs ข้อควรระวังการแก้ไขรีจีสทรีนั้… Read More
DNSChanger Malwareวิธีการป้องกัน ตรวจสอบ และกำจัดมัลแวร์ DNSChanger 9 กรกฎาคม 2555: FBI ทำการปิด DNS Server ที่ใช้โดยมัลแวร์ DNSChanger แล้วเมื่อเวลา 12:01 am EDT = 4.01 pm GMT ในขณะที่เขียนเรื่องนี้ (3 กรกฎาคม 2555) ซึ่งเหลือเวลาอีกเพียงแค่… Read More
ระวังการโจมตีแบบ Zero-day ผ่านทางไฟล์ PDFมีการเตือนจากบริษัทผู้พัฒนาโปรแกรมรักษาความปลอดภัย ให้ผู้ที่ใช้โปรแกรม Adobe Reader 9 และ Acrobat 9 ระวังการโจมตีจากมัลแวร์ โดยการโจมตีนี้จะเป็นแบบ Zero-day attack เนื่องจากเป็นการโจมตีผ่านทางช่องโหว่ที่ยังไม่มีแพตช์สำหรับแก้… Read More
Stuxnet (Win32/Stuxnet) Virus Threatไวรัส Stuxnet โจมตี Windows ผ่านช่องโหว่ความปลอดภัยของ Windows Shell Win32/Stuxnet หรือ Stuxnet เป็นมัลแวร์แบบหลายคอมโพเนนต์ (Multi-component) คือเป็นทั้ง ประเภท โทรจัน (Trojan) และเวิร์ม (Worm) มีการค้นพบครั้งแรกเมื่อ 16 กรก… Read More
Virus Alert: Duqu Trojan, Fix solution is available from Microsoftไมโครซอฟท์เตือนผู้ใช้ Windows ให้ระวังโทรจัน Duqu โจมตีระบบผ่านช่องโหว่ความปลอดภัยของ TrueType Font, พร้อมออก Fix It สำหรับใช้ป้องกันแล้ว ไมโครซอฟท์เตือนผู้ใช้ Windows ให้ระวังการโจมตีจากโทรจัน Duqu (Win32/Duqu) ซึ่งเป็นมัลแว… Read More