โดยทั่วไปผู้ผลิต Antivirus จะตั้งชื่อ virus โดยประกอบไปด้วยส่วนต่าง ๆ คือ prefix + ชื่อ + suffix ซึ่งแต่ละส่วนมีความหมายดังนี้
Prefix
ตรง prefix จะบ่งบอกถึงชนิดของ virus หรือ malware เช่น
- W32 หรือ Win32 จะหมายถึง virus ที่ติดต่อกับ Windows-32 bit ( Windows 95/98,Me,NT4,2000,2003,XP)
- W95 หมายถึง virus ที่ติดต่อกับ Windows 95/98
บางครั้งผู้ผลิต Antivirus อาจจะกำหนด prefix เพื่อระบุถึงลักษณะของอาการ เช่น
- TROJ หมายถึง Trojan house
- I-Worm หมายถึง Internet/email worm
- OM หมายถึง MS Office macro virus และ ตัวอย่างของ prefix ของ macro virus อื่น ๆ ก็เช่น W97M, WM, X2KM ซึ่งจะระบุถึง version ของ Office หรือ โปรแกรมในชุดของ Office ด้วย เช่น X2KM ก็คือ macro virus ที่ติดต่อกับ Excel 2000
Name
ต่อจาก prefix ก็จะเป็นชื่อของ virus ซึ่งโดยทั่วไปมักจะแยกจาก prefix ด้วยเครื่องหมาย underscore,(_) จุด หรือ slash (/) เช่น W32/Bagle ก็คือ virus ชื่อ Bagle
Suffix
ส่วนท้ายของชื่อ virus ซึ่งจะแยกจากชื่อของ virus ด้วยเครื่องหมายจุด จะใช้สำหรับบอกถึงความแตกต่างของ virus ที่อยู่ในตระกูล/สายพันธุ์เดียวกัน ที่เกิดตาม ๆ กันมา เช่น W32/Bagle.A , W32/Bagle.B
ซึ่งการตั้งขื่อ จะตั้งเรียงตาม A- Z เช่น Bagle.A, Bagle.B , .. Bagle.Z จนครบ แล้วจึงเริ่มใหม่เป็น Bagle.AA, Bagle.AB ต่อไปเรื่อย ๆ
Modifier
ในบางครั้ง จะมีการเพิ่ม modifier ต่อท้าย suffix เพื่ออธิบายรายละเอียดเพิ่มเติมของชนิด virus เช่น
- @mm หมายถึง mass-mailing email worm
- @dl หมายถึง downloader
จากข้อมูลทั้งหมด ถ้าเราเห็น virus ที่ชื่อ W32/Bagle.BB@mm เราก็จะบอกได้ว่า เป็น virus แบบ mass-mailing ที่พัฒนามาจากตระกูล Bagle ซึ่งติดต่อกับ Windows 32-bit
Virus ตัวหนึ่ง อาจจะมีชื่อหลายชื่อก็ได้ ซึ่งในการหาข้อมูลเกี่ยวกับ virus ตัวหนึ่ง ๆ นั้น เราจะต้องเข้าใจว่ามันอาจจะถูกเรียกชื่อแตกต่างกัน ตามผู้ผลิต Antivirus แต่ละราย ดังนั้น ในการค้นหาข้อมูลของ virus เราอาจจะต้องอ้างอิงถึงผู้ผลิต Antivirus ด้วย
ตัวอย่างเช่น หากจะต้องการหาข้อมูลของ Bagle.AT ได้อย่างถูกต้อง เราอาจจะต้องเพิ่มชื่อของผู้ผลิต Antiviurs เข้าไปด้วย เพราะ virus ตัวนี้มีชื่อเรียกที่หลากหลาย เช่น
- Trend Micro เรียก WORM_BAGLE.AT
- Sophos เรียก W32/Bagle-AU
- McAfee เรียก W32/Bagle.bb@mm
- Computer Associates เรียก Win32.Bagle.AQ
- Kaspersky เรียก I-Worm.Bagle.at
- หรือ บางครั้ง อาจจะเจอชื่อเรียกที่แตกต่างกันเลย เช่น Symantec เรียกว่า W32.Beagle.AW@mm
ที่มา : http://antivirus.about.com/od/whatisavirus/a/virusnames.htm
Friday, January 23, 2009
Subscribe to:
Posts (Atom)
