ชื่อไวรัสบอกอะไรได้บ้าง

เคยสงสัยกันบ้างไหมว่าชื่อของไวรัสที่เห็นทั่วไปนั้น มีความหมายว่าอย่างไร ทำไมบริษัทที่พัฒนาโปรแกรมป้องกันไวรัสจึงตั้งชื่อแต กต่างกันไป ทั้งๆ ที่ไวรัสที่ค้นพบนั้นเป็นตัวเดียวกัน อย่างไรก็ตามแม้ว่าชื่อจะเขียนไม่เหมือนกันทุกตัวอัก ษร แต่ความหมายที่แปลได้จากชื่อนั้นเหมือนกัน

ตัวอย่างเช่น

W32.Klez.h@mm W32/Klez.h@MM WORM_KLEZ.H I-Worm.Klez.h เป็นต้น

บทความนี้จะอธิบายถึงส่วนต่างๆ ของชื่อไวรัส เพื่อทำให้ผู้อ่านสามารถจำแนกแยกแยะประเภทของไวรัสจา กชื่อของไวรัส ความสามารถเด่นๆ ตลอดจนวิธีการแพร่กระจายตัวของไวรัสได้

ส่วนประกอบของชื่อไวรัสนั้นแบ่งได้เป็นส่วนๆ ดังนี้

รูปที่ 1 แสดงส่วนประกอบต่างๆของชื่อไวรัส

1. ส่วนแรกแสดงชื่อตระกูลของไวรัส (Family_Names)
ส่วนใหญ่จะตั้งตามชนิดของปัญหาที่ไวรัสก่อขึ้น หรือภาษาที่ใช้ในการพัฒนา เช่น เป็นม้าโทรจัน ถูกพัฒนาด้วย Visual Basic scripts หรือเป็นไวรัสที่รันบนระบบปฏิบัติการวินโดวส์ 32 บิต เป็นต้น ซึ่งชื่อของตระกูลของไวรัสที่ค้นพบในปัจจุบันดังตารา งที่ 1

Family_Names	ความหมาย
WM	ไวรัสที่เป็นมาโครของโปรแกรม Word
W97M	ไวรัสที่เป็นมาโครของโปรแกรม Word 97
XM	ไวรัสที่เป็นมาโครของโปรแกรม Excel
X97M	ไวรัสที่เป็นมาโครของโปรแกรม Excel 97
W95	ไวรัสที่มีผลกระทบกับระบบปฏิบัติการวินโดวส์ 95
W32/Win32	ไวรัสที่มีผลกระทบกับระบบปฏิบัติการวินโดวส์ 32 บิต
WNT	ไวรัสที่มีผลกระทบกับระบบปฏิบัติการวินโดวส์ NT 32 บิต
I-Worm/Worm	หนอนอินเทอร์เน็ต
Trojan/Troj	ม้าโทรจัน
VBS	ไวรัสที่ถูกพัฒนาด้วย Visual Basic Script
AOL	ม้าโทรจัน America Online
PWSTEAL	ม้าโทรจันที่มีความสามารถในการขโมยรหัสผ่าน
Java	ไวรัสที่ถูกพัฒนาด้วยภาษาจาวา
Linux	ไวรัสที่มีผลกระทบกับระบบปฏิบัติการลินุกซ์
Palm	ไวรัสที่มีผลกระทบกับระบบปฏิบัติการ Palm OS
Backdoor	เปิดช่องให้ผู้บุกรุกเข้าถึงเครื่องได้
HILLW	บ่งบอกว่าไวรัสถูกคอมไพล์ด้วยภาษาระดับสูง

ตารางที่ 1 แสดงรายชื่อตระกูลของไวรัส

2. ส่วนชื่อของไวรัส (Group_Name)
เป็นชื่อดั้งเดิมที่ผู้เขียนไวรัสเป็นคนตั้ง โดยปกติจะถูกแทรกไว้อยู่ในโค้ดของไวรัส และในส่วนนี้เองจะเอามาเรียกชื่อไวรัสเปรียบเสมือนเร ียกชื่อเล่น ตัวอย่างเช่น ชื่อของไวรัสคือ W32.Klez.h@mm และจะถูกเรียกว่า Klez.h เพื่อให้สั้นและกระชับขึ้น

3. ส่วนของ Variant
รายละเอียดส่วนนี้จะบอกว่าสายพันธุ์ของไวรัสชนิดนั้น ๆ มีการปรับปรุงสายพันธุ์จนมีความสามารถต่างจากสายพันธ ุ์เดิมที่มีอยู่ variant มี 2 ลักษณะคือ

Major_Variants จะตามหลังส่วนชื่อของไวรัส เพื่อบ่งบอกว่ามีความแตกต่างกันอย่างชัดเจน เช่นหนอนชื่อ VBS.LoveLetter.A (A เป็น Major_Variant) แตกต่างจาก VBS.LoveLetterอย่างชัดเจน
Minor_Variants ใช้บ่งบอกในกรณีที่แตกต่างกันนิดหน่อย ในบางครั้ง Minor_Variant เป็นตัวเลขที่บอกขนาดไฟล์ของไวรัส ตัวอย่างเช่น W32.Funlove.4099 หนอนชนิดนี้มีขนาด 4099 KB.

4. ส่วนท้าย (Tail) เป็นส่วนที่จะบอกว่าวิธีการแพร่กระจาย ประกอบด้วย

@M หรือ @m บอกให้รู้ว่าไวรัสหรือหนอนชนิดนี้เป็น "mailer" ที่จะส่งตัวเองผ่านทางอี-เมล์เมื่อผู้ใช้ส่งอี-เมล์เท่านั้น
@MM หรือ @mm บอกให้รู้ว่าไวรัสหรือหนอนชนิดนี้เป็น "mass-mailer" ที่จะส่งตัวเองผ่านทุกอี-เมล์แอดเดรสที่อยู่ในเมล์บอกซ์

ตัวอย่าง W32.HILLW.Lovgate.C@mm แสดงว่า

อยู่ในตระกูลที่มีผลต่อระบบปฏิบัติการวินโดวส์ 32 บิต และถูกคอมไพล์ด้วยภาษาระดับสูง
ชื่อของไวรัสคือ Lovgate
ที่มี variant คือ C
มีความสามารถในการแพร่กระจายผ่านทางอี-เมล์โดยส่งไปยังทุกอี-เมล์แอดเดรสที่อยู่ในเมล์บอกซ์

จากส่วนประกอบของชื่อไวรัสที่ได้อธิบายไว้ข้างต้น จะเห็นได้ว่าชื่อของไวรัสนั้นสามารถบอกถึงประเภทของไ วรัส ชื่อดั้งเดิมของไวรัสที่ผู้เขียนไวรัสเป็นคนตั้ง สายพันธุ์ต่างๆ ของไวรัสที่ถูกพัฒนาต่อไป และวิธีการแพร่กระจายตัวของไวรัสเองด้วย

เรียบเรียงโดย : กิติศักดิ์ จิรวรรณกูล และ มนัชยา ชมธวัช
เผยแพร่เมื่อ : 27 กุมภาพันธ์ 2546

================================================== =========================

ที่มา : ThaiCERT : ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย

เครื่องมือ
แสดงผลสำหรับที่จะ Print ส่งกระทู้นี้ให้เพื่อนทาง Email
แสดงผล
Linear Mode Switch to Hybrid Mode Switch to Threaded Mode