Interpretar nomes de vírus (ou de qualquer tipo de código malicioso) é uma tarefa simples depois que você se acostuma. Entretanto, algumas coisas não são tão óbvias a princípio e por isso esse artigo foi criado: para que você comece a entender o funcionamento básico de um código malicioso apenas vendo o nome dele.

Por exemplo, você saberá que P2P-Worm.Win32.Tibick.f é a sexta variante de um worm que utiliza programas como o KaZaA e eMule para se espalhar, enquanto Trojan.Win32.Agent.cp é um trojan que pode ser evitado com um firewall.

Antes de começar, é necessário que você saiba que, enquanto os vírus biológicos possuem um nome padronizado em Latim, tal padronização não existe para os vírus de computador. Cada empresa de antivírus pode dar nomes diferentes para malwares iguais. Existem exceções: quando algum vírus se torna uma epidemia (como o MyDoom), as empresas entram em acordo e renomeiam o código malicioso. O MyDoom também foi chamado de Novarg e SCO (por fazer um ataque de negação de serviço no site da SCO).

Essa ausência de padrões causará uma enorme dor de cabeça. Para os worms e trojans mais comuns você até pode conseguir todos os nomes diferentes, mas para alguns pode ficar bastante complicado. Se você sabe inglês, você poderá ler a documentação da empresa de antivírus sobre os nomes e poderá entender mais facilmente.
Partes do Nome de um Malware
Tipo (ou Prefixo)

Antes de tudo, é importante que você saiba que nem todo vírus ou código malicios infecta outros arquivos. Atualmente, os vírus como eram conhecidos (que infectavam todos os arquivos no disco) estão realmente raros, embora alguns deles ainda possam ser encontrados.

Os valores para o Tipo variam muito de empresa para empresa. Algumas empresas utilizam tipos extremamente detalhados, outras usam tipos mais gerais. Para entender os tipos é necessário que você saiba que:

* Um Droppper é um trojan que apenas instala outros trojans no sistema. Em um dropper, o código do trojan a ser instalado está dentro do trojan que vai instalá-lo. Abreviando como “DR” por algumas empresas.
* Um Downloader é igual um Dropper, mas o trojan que vai ser instalado é baixado da Internet. Abreviando como “DLDR” por algumas empresas.
* Um Proxy (na linguagem de segurança em worms e trojans) é um backdoor que permite o envio de e-mails camuflados
* IRC se refere ao sistema de bate-papo Internet Relay Chat
* IM são programas de Mensagem Instantânea
* P2P são programas como KaZaA e eMule

Dessa forma, um Trojan-Proxy é um trojan que possui um backdoor para envio de e-mails, enquanto um P2P-Worm é um worm que usa o KaZaA e o eMule para se espalhar.

É importante que você veja, no nosso Dicionário, a definição dos seguintes termos:

* Adware (abreviado: ADW)
* Dialer (abreviado: Dial)
* Exploit
* Backdoor
* Joke
* Macro (ver abaixo)
* Trojan (abreviado: Troj)
* Worm
* Spyware

Você deve entender porque cada um dos termos acima, pois esses são os Tipos principais usados pelas companhias de antivírus.

Devido a falta de um padrão, você deve tentar tentar raciocionar o que cada Tipo significa. Sabendo o que é um Trojan e um Spyware, por exemplo, você poderá saber que um Trojan-Spy é m trojan com funcionalidades de Spyware e que um Trojan-Downloader é um código malicios que vai baixar trojans.
Tipos Adicionais

Alguns tipos que não estão no dicionário e que você deve saber.
Win32, W32 Usados para identificar algum código malicioso que infecta arquivos em versões 32 bit do Windows. Win64 e Win64 são usados para Windows 64, W95 e Win95 para Windows 95; WinNT e WNT para Windows NT, etc. Algumas empresas utilizam Win32/W32 apenas como modificar de plataforma, ou seja, não necessariamente infectam arquivos. A Symantec utiliza para identificar infectores de arquivo, mas é anulado se o malware terminar com “Worm” ou @mm.
VBS Define trojans ou vírus criados em Visual Basic Script.
PWS ou PWSTEAL Malwares feitos para roubar senhas
JS ou HTML Define trojans ou vírus criados em Javascript ou HTML.
BAT Define trojans escritos na forma de arquivos batch do MS-DOS (.bat).
HLLC High Level Language Companion. Define um vírus programado em uma linguagem alto nível e que “acompanha” os arquivos originais. Ao invés de infectar o arquivo, os companions renomeiam ele e escondem do usuário e depois copiam os vírus onde estava o arquivo. Assim o usuário vai executar o vírus ao invés do arquivo original. Quando o usuário copiar o arquivo em disquetes ou gravar em CD, o vírus também será salvo ao invés do arquivo original.
HLLW Define um worm que foi feito em uma linguagem de alto nível. Todos os worms atuais são programados em uma linguagem de alto nível, então este termo é um pouco raro de ser visto, já que as companhias não utilizam esse termo por ser pouco conhecido.
HLLO Define um vírus irreparável que vai sobreescrever os arquivos no disco com seu código, tornando os arquivos impossíveis de recuperar. Se algum antivírus detectar um HLLO no seu computador, faça backup de todos os dados importantes antes que seja tarde.
HLLP High Level Languange Parasite. Um vírus comum programado em uma linguagem de alto nível como Pascal ou C++.
HackTool Tipo usado para definir ferramentas usadas para comprometer sistemas.
Tipos Específicos

Esses são alguns tipos usados pelas principais companhias de antivírus. Listar todos é quase impossível, serão listados apenas alguns mais comuns:
Ablank Usado pela Sophos para definir os diversos trojans da família do StartPage. Muitas empresas apenas colocam Variantes na família do Startpage.
PE Usado pela Trend Micro para definir Vírus (ou seja, um código malicioso capaz de infectar outros arquivos)
I-Worm, P2P-Worm,IRC-Worm Worms que usam a rede, P2P e canais de IRC, respectivamente. Usado pela Kaspersky e compatíveis.
Vírus do Tipo Macro

Para vírus do tipo Macro (que infectam arquivos criados através do Microsoft Office), é um pouco mais complicado. Empresas diferentes usam nomes completamente diferentes. Você precisa lembrar sempre das iniciais para facilitar:

* M = Macro
* MS = Microsoft
* O = Office
* W = Word
* A = Access
* X = Excel

A2KM Vírus Macro de Access 2000
X97M, XM97, MSExcel Vírus de Macro do Excel 97
OM Vírus de macro de Office (sem versões específica)
O97 Vírus Macro de Office 97.

Seguindo esse raciocício, você saberá que W97 ou W97M é um vírus de macro para Word, etc.