Avast でマルウェアが検出されたとき、それがどのような種類のウイルスなのか、気になったことはないでしょうか。本記事では、Avast のマルウェア名の命名規則から、読み取れる情報を紹介します。
2018/06/30 (土) 一部追記
2020/05/20 (水) 誤記訂正
Avast のマルウェア命名は、基本的には一定の規則に基づく、4つの部分から構成されています。
例として Win32:Agent-BCEX [Trj] というマルウェア名を見てみましょう。赤、オレンジ、緑、青の4部分はそれぞれ、
Win32:
第1項目である、マルウェアのファイル形式を示します。
Agent
第2項目である、マルウェアの固有名となります。
-BCEX
第3項目である、ファミリー内の連番となります。
[Trj]
第4項目である、マルウェアの種別を指します。
となります。それぞれ、以下で解説します。
第1項目 マルウェアのファイル形式
マルウェア名の最初に記載されるのは、そのマルウェアのファイル形式です。ファイルの拡張子や製品名から取ったものが多いですが、それ以外に由来するものもあります。
ファイル形式が付かないものもまれにあります。
| ADS | Alternate Data Stream の略。 |
| ALS | AutoLisp の略。AutoCAD という製品の機能を使うもの。 |
| Android | Android に感染するマルウェア。 |
| ASP | 拡張子/製品名由来。 |
| AutoIt | AutoIt という製品の機能を使うもの。 |
| BV | Batch Virus の略。 |
| CMD | 拡張子/製品名由来。 |
| Dyna | DeepScreen で検出されるマルウェア。 |
| DynaSql | DeepScreen で検出されるマルウェアで、より高度な分析に基づくもの。 |
| ELF | 主に Linux に感染するマルウェア。 |
| EMF | 拡張子/製品名由来。 |
| HTML | 拡張子/製品名由来。 |
| HTTP | プロトコル名由来。 |
| INF | 拡張子/製品名由来。 |
| INI | 拡張子/製品名由来。 |
| Inno | Inno Setup の略。 |
| IRC | Internet Relay Chat の略。 |
| Java | 拡張子/製品名由来。 |
| JS | 拡張子/製品名由来。 |
| LNK | 拡張子/製品名由来。Windows のショートカットを指す。 |
| MacOS | MacOS に感染するマルウェア。 |
| MBR | Master Boot Record の略。 |
| MO97 | Microsoft Office 97 の略。このバージョン以降、Office 2003までのMicrosoft Office で作られたファイルを指す。 |
| MSIL | Microsoft Intermediate Language の略。 |
| MSWord | Microsoft Word の略。Word で作られたファイルを指す。 |
| Multi | 様々なファイル形式の混合であることを指す。 |
| MW6 | Microsoft Word 6の略。非常に古いWordで作られたファイルを指す。 |
| MX97 | Microsoft Excel 7 の略。Excel 95 等で作成されたファイルを指す。 |
| NSIS | NullSoft Installer の略。 |
| OLE | Object Linking and Embedding の略。 |
| Other | 定義されているいずれの形式にも当てはまらない場合。 |
| 拡張子/製品名由来。 | |
| Perl | 拡張子/製品名由来。 |
| PHP | 拡張子/製品名由来。 |
| PNG | 拡張子/製品名由来。 |
| PwrSh | Windows PowerShell の略。拡張子/製品名由来。 |
| Python | 拡張子/製品名由来。 |
| RTF | 拡張子/製品名由来。 |
| SCRIPT | 何らかのスクリプト言語で開発されたマルウェアを指す。 |
| Sf | Avast のコードエミュレータで検出されるマルウェア。 |
| SFX | Self Extractor の略。 |
| SWF | 拡張子/製品名由来。Adobe Flash のファイル。 |
| URL | URL そのものを指す。 |
| VBA | Visual Basic for Applications の略。 |
| VBS | 拡張子/製品名由来。 |
| WAT | 詳細不明。 |
| Win32 | Windows 向けの32ビット実行ファイルを指す。 |
| Win64 | Windows 向けの64ビット実行ファイルを指す。 |
| XLS | 拡張子/製品名由来。Microsoft Excel で作成されたファイルを指す。 |
| XML | 拡張子/製品名由来。 |
第2項目 マルウェアの固有名
2番目に記載されるのは、マルウェアの固有名となります。マルウェアに亜種がいる場合(ほとんどの場合は亜種が出ますが)には、それら亜種を束ねる識別名となり、固有のマルウェアは次の第3項目で区別されます。
特徴のあるマルウェアの場合には、その特徴を示す固有名(WannaCry 等)が使われますが、そうでなければ、第三者には由来のよく分からない名前が使われることも少なくありません。
第3項目 ファミリー内の連番
マルウェアには多数の亜種が出ることが常ですが、その亜種を識別するのが第3項目です。最初に見つかったものに A 、以降は B 、 C ・・・と続きます。Z に到達した後は、 AA 、 AB ・・・と続きます。現在では、最長で4桁まで続いています。
第4項目 マルウェアの種別
最後に記載されるのがマルウェアの種別です。昔の分類でいう「ウイルス」や「ワーム」「トロイの木馬」などに相当する分類を示します。分類名が付かない場合もあり、その場合はファイル感染型ウイルス(狭義のウイルス)か、分類ができない場合(クラウドベースの検知名であったり、URLそのものであったり)を指します。
| [Adw] | Adware | アドウェア。広告を出すもの。 |
| [Cryp] | Crypter | 難読化ツールで難読化されたもの。マルウェアに特徴的な難読化の場合に検出される。 |
| [Dcp] | Deceptive | Deceptive = だますような。マルウェアとは言い切れないが問題のあるソフトウェアを示す。 |
| [Drp] | Dropper | ドロッパー。他のマルウェアをコンピュータ内に引き込むための誘導役を務めるもの。 |
| [Expl] | Exploit | エクスプロイト。ソフトウェアの脆弱性をついて攻撃するもの。 |
| [Heur] | Heuristic | ヒューリスティック。現在でいうAIに近いもので、コードの特徴などから未知のマルウェアを発見しようとする。 |
| [Joke] | Joke | ジョーク。ユーザーを驚かすためだけのもので、コンピュータに実害は与えないものがほとんど。 |
| [Phish] | Phishing | フィッシング。フィッシング詐欺のウェブサイト等を示す。 |
| [PUP] | Potentially Unwanted Program | 不必要な可能性のあるプログラム。ユーザーの意志に反して導入される同梱ソフトウェア等。概念としてはアドウェアを包含する。 |
| [Ransom] | Ransomware | ランサムウェア。コンピュータ上のファイルや、コンピュータそのものを利用できなくし、身代金等を要求する。 |
| [Rtk] | Rootkit | ルートキット。コンピュータの深い部分に感染し、自身やほかのマルウェアを隠蔽しつつ感染活動を行うもの。 |
| [Spy] | Spyware | スパイウェア。コンピュータの情報を外部に送信する。 |
| [Susp] | Suspicious | 怪しいファイル。マルウェアと断定はできないが、マルウェアらしい特徴を備えたファイル等を示す。 |
| [Tool] | Tool | ツール。正規のものであるが、悪用されやすい類のソフトウェアを示す。 |
| [Trj] | Trojan | トロイの木馬。古い分類において「自己増殖しない、単独で存在するマルウェア」を指す。他の分類に当てはまらないものは大半がここに分類される。 |
| [Wrm] | Worm | ワーム。古い分類において「自己増殖する、単独で存在するマルウェア」を指す。 |
本日は以上となります。