マルウェア名を読み解く

Avast でマルウェアが検出されたとき、それがどのような種類のウイルスなのか、気になったことはないでしょうか。本記事では、Avast のマルウェア名の命名規則から、読み取れる情報を紹介します。

2018/06/30 (土) 一部追記
2020/05/20 (水) 誤記訂正

Avast のマルウェア命名は、基本的には一定の規則に基づく、4つの部分から構成されています。

例として Win32:Agent-BCEX [Trj] というマルウェア名を見てみましょう。赤、オレンジ、緑、青の4部分はそれぞれ、

Win32:
第1項目である、マルウェアのファイル形式を示します。

Agent
第2項目である、マルウェアの固有名となります。

-BCEX
第3項目である、ファミリー内の連番となります。

[Trj]
第4項目である、マルウェアの種別を指します。

となります。それぞれ、以下で解説します。


第1項目 マルウェアのファイル形式

マルウェア名の最初に記載されるのは、そのマルウェアのファイル形式です。ファイルの拡張子や製品名から取ったものが多いですが、それ以外に由来するものもあります。
ファイル形式が付かないものもまれにあります。

ADS Alternate Data Stream の略。
ALS AutoLisp の略。AutoCAD という製品の機能を使うもの。
Android Android に感染するマルウェア。
ASP 拡張子/製品名由来。
AutoIt AutoIt という製品の機能を使うもの。
BV Batch Virus の略。
CMD 拡張子/製品名由来。
Dyna DeepScreen で検出されるマルウェア。
DynaSql DeepScreen で検出されるマルウェアで、より高度な分析に基づくもの。
ELF 主に Linux に感染するマルウェア。
EMF 拡張子/製品名由来。
HTML 拡張子/製品名由来。
HTTP プロトコル名由来。
INF 拡張子/製品名由来。
INI 拡張子/製品名由来。
Inno Inno Setup の略。
IRC Internet Relay Chat の略。
Java 拡張子/製品名由来。
JS 拡張子/製品名由来。
LNK 拡張子/製品名由来。Windows のショートカットを指す。
MacOS MacOS に感染するマルウェア。
MBR Master Boot Record の略。
MO97 Microsoft Office 97 の略。このバージョン以降、Office 2003までのMicrosoft Office で作られたファイルを指す。
MSIL Microsoft Intermediate Language の略。
MSWord Microsoft Word の略。Word で作られたファイルを指す。
Multi 様々なファイル形式の混合であることを指す。
MW6 Microsoft Word 6の略。非常に古いWordで作られたファイルを指す。
MX97 Microsoft Excel 7 の略。Excel 95 等で作成されたファイルを指す。
NSIS NullSoft Installer の略。
OLE Object Linking and Embedding の略。
Other 定義されているいずれの形式にも当てはまらない場合。
PDF 拡張子/製品名由来。
Perl 拡張子/製品名由来。
PHP 拡張子/製品名由来。
PNG 拡張子/製品名由来。
PwrSh Windows PowerShell の略。拡張子/製品名由来。
Python 拡張子/製品名由来。
RTF 拡張子/製品名由来。
SCRIPT 何らかのスクリプト言語で開発されたマルウェアを指す。
Sf Avast のコードエミュレータで検出されるマルウェア。
SFX Self Extractor の略。
SWF 拡張子/製品名由来。Adobe Flash のファイル。
URL URL そのものを指す。
VBA Visual Basic for Applications の略。
VBS 拡張子/製品名由来。
WAT 詳細不明。
Win32 Windows 向けの32ビット実行ファイルを指す。
Win64 Windows 向けの64ビット実行ファイルを指す。
XLS 拡張子/製品名由来。Microsoft Excel で作成されたファイルを指す。
XML 拡張子/製品名由来。

 

第2項目 マルウェアの固有名

2番目に記載されるのは、マルウェアの固有名となります。マルウェアに亜種がいる場合(ほとんどの場合は亜種が出ますが)には、それら亜種を束ねる識別名となり、固有のマルウェアは次の第3項目で区別されます。

特徴のあるマルウェアの場合には、その特徴を示す固有名(WannaCry 等)が使われますが、そうでなければ、第三者には由来のよく分からない名前が使われることも少なくありません。

 

第3項目 ファミリー内の連番

マルウェアには多数の亜種が出ることが常ですが、その亜種を識別するのが第3項目です。最初に見つかったものに A 、以降は BC ・・・と続きます。Z に到達した後は、 AA AB ・・・と続きます。現在では、最長で4桁まで続いています。

 

第4項目 マルウェアの種別

最後に記載されるのがマルウェアの種別です。昔の分類でいう「ウイルス」や「ワーム」「トロイの木馬」などに相当する分類を示します。分類名が付かない場合もあり、その場合はファイル感染型ウイルス(狭義のウイルス)か、分類ができない場合(クラウドベースの検知名であったり、URLそのものであったり)を指します。

[Adw] Adware アドウェア。広告を出すもの。
[Cryp] Crypter 難読化ツールで難読化されたもの。マルウェアに特徴的な難読化の場合に検出される。
[Dcp] Deceptive Deceptive  = だますような。マルウェアとは言い切れないが問題のあるソフトウェアを示す。
[Drp] Dropper ドロッパー。他のマルウェアをコンピュータ内に引き込むための誘導役を務めるもの。
[Expl] Exploit エクスプロイト。ソフトウェアの脆弱性をついて攻撃するもの。
[Heur] Heuristic ヒューリスティック。現在でいうAIに近いもので、コードの特徴などから未知のマルウェアを発見しようとする。
[Joke] Joke ジョーク。ユーザーを驚かすためだけのもので、コンピュータに実害は与えないものがほとんど。
[Phish] Phishing フィッシング。フィッシング詐欺のウェブサイト等を示す。
[PUP] Potentially Unwanted Program 不必要な可能性のあるプログラム。ユーザーの意志に反して導入される同梱ソフトウェア等。概念としてはアドウェアを包含する。
[Ransom] Ransomware ランサムウェア。コンピュータ上のファイルや、コンピュータそのものを利用できなくし、身代金等を要求する。
[Rtk] Rootkit ルートキット。コンピュータの深い部分に感染し、自身やほかのマルウェアを隠蔽しつつ感染活動を行うもの。
[Spy] Spyware スパイウェア。コンピュータの情報を外部に送信する。
[Susp] Suspicious 怪しいファイル。マルウェアと断定はできないが、マルウェアらしい特徴を備えたファイル等を示す。
[Tool] Tool ツール。正規のものであるが、悪用されやすい類のソフトウェアを示す。
[Trj] Trojan トロイの木馬。古い分類において「自己増殖しない、単独で存在するマルウェア」を指す。他の分類に当てはまらないものは大半がここに分類される。
[Wrm] Worm ワーム。古い分類において「自己増殖する、単独で存在するマルウェア」を指す。

 


本日は以上となります。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策) Needs some Japanese text for SPAM prevention.