お使いのコンピュータでウイルス対策ソフトウェアが何を検索したのか困惑していますか?私たちが味方になりましょう。このガイドでは、異なる名前が何を意味するのか、どうやってそのパラサイトの詳細を得るのかについて説明しています。マルウェアの検出がユーザーに友好的であることはありませんし、多くの場合においてメーカーはマルウェアを検出してそれで十分であるとユーザーに納得させようとします。
問題は、ウイルス対策ベンダーが、ユーザーがパラサイトに関する詳細を必要とするかもしれないことに気づいていない、または気づいていても無視しているということです:
- 感染がデータを脆弱させていたらどうやって検出する?
- 誤検出または疑わしいプログラムだったら?
- プログラムが絶えず現れるようなら?
だからこそ、ユーザーはマルウェアメーカーが発する言い回しや、そのパラサイトが他のソースではどう呼ばれているかを知り、理解しなくてはなりません。
マルウェア対策メーカーはパラサイトをどのように称しているか?
実際パラサイトの名前が構築されるには多くの方法があります。名前はユーザーが親しみやすいものではなく、ウイルス対策データベース内のパラサイトを識別するためだけに使われます。しかしウイルス対策ベンダーの多くは、関連したパラサイトは似たような名前にしてデータを適切に分類し、その後の研究に役立てたいと考えています。したがって典型的には、それぞれの検出は2~5の部があります:
- マルウェアの機能 (ブックドア– Backdoor、アドウェア – Adware、スパイウェア – 、gent/Generic、ダウンローダー – Downloader、ローグ – Rogue、ハイジャッカーなど)。この部は、パラサイトがシステム上で何をするか、どんな症状を目にするかを定義します。粗めの分類をするウイルス対策もあればより細かく分類するウイルス対策もあることに注意してください。HEUR または Behavioral検出には関しては特別な言及があります。これは何らかの有害コードが使われているためにパラサイトが知られない、疑われないことを意味します。
- Win32/W32, OSX, Android, Symbian, JS/HTML, Linuxなどで実行されるプラットフォームまたはオペレーションシステム。これは特定のウイルスが実行される場所を示します。ただし、これはパラサイトが異なるプラットフォームを感染することを防ぐという意味にはなりません。例えば、JS.Injector がWindowsまたはMac のトロイの木馬をインストールしようとするとします。しかしそれはユーザーが感染したページを閲覧したときのみ可能となります。
- 流通手段 (ウイルス – Virus、トロイの木馬 – Trojan、ワーム – Worm)。ウイルスはファイルを感染させますが、トロイの木馬は良好なファイルに取り替わる、または成りすまします。ワームは様々な脆弱性を利用して自身をインストールしようと試みます。潜在的に望ましくないプログラム(PUP, PUA, „Not a virus“ またはバンドル) という特別なケースもあります。これはユーザー自身によってインストールされたが、望ましくない機能を有している、または不正な宣伝がされているというプログラムを指します。
- „ユーザーフレンドリー“ な名前のファミリー。一部のAVメーカーでは省略されていますが、マルウェアグループの名前にはいくつかの種類があります。一般的には、症状の種類やマルウェアファイルからの文字列に言及します。時には他のマルウェア対策ツールのデータベースから引き出した名前が取り入れられていることもあります。通常は、パラサイトのフルネームの一部分です。
- 多くのバージョンが既存している場合の特定のバージョン。一般的に、これはパラサイト名の最後の部分です。
例:
Trojan.Generic または Trojan.Agent または Trojan.Win32 – ファミリーや機能に関する特定の情報が一切ないトロイの木馬パラサイト。詳しい情報を見るには他のツールを使ってスキャンするか、VirusTotal などのオンラインスキャンサービスに情報をアップロードする必要があるのは明らかです。誤検出である可能性もあります。
多くのウイルス対策ベンダーはベータベースをオンラインで公開していますが、検出を調べる一番の方法はマルウェアファミリーを絞り込み、人間が読める情報を見つけることです。複雑なケースでは、パラサイトをVirusTotalにアップロードしたり、パラサイトファミリーの情報で検索検索することによって行うことができます。
Source: https://www.2-viruses.com/how-to-read-and-understand-malware-names