W32 & Co.: Was der Name über einen Virus verrät

Ein Name wie "W32/Sircam.A-mm" verrät eine ganze Menge über den jeweiligen Schädling. Denn die Hersteller von Antiviren-Software haben sich auf einen halbwegs einheitlichen Standard für die Vergabe von Schädlingsnamen geeinigt

Am Anfang des Namens steht die Kennzeichnung der Zielplattform, also der Dateien oder Betriebssysteme, die der Schädling infizieren kann. Am häufigsten ist W32 zu finden, es weist auf 32-Bit-Windows hin. Das umfasst alle Win-Versionen von 95 bis zu XP. Die Tabelle führt die wichtigsten Kürzel auf.

Getrennt durch Schrägstrich oder Punkt folgt der eigentliche Name. Meist steht dabei wie bei VBS/Loveletter eine besondere Eigenschaft der Malware oder ein markanter Text Pate. Beim Kernnamen treffen die Hersteller von Antiviren-Software allerdings oft ihre eigene Wahl. Viele Schädlinge sind deshalb unter mehreren, leicht abweichenden Namen oder Aliases bekannt.

Dann folgt ein Punkt oder Minuszeichen und die Variante, angefangen mit A. Denn viele Schädlinge tauchen innerhalb kurzer Zeit in leicht veränderter Form erneut auf. Dies liegt daran, dass es Trittbrettfahrer gibt, die den originalen Programmcode modifizieren und etwa andere Meldungen einfügen. Zum anderen verändern sich vor allem Makroviren oft selbst, etwa durch verstümmelte Dokumente oder Kopierfehler.

Ein weiteres Minuszeichen oder ein Klammeraffe (@) trennt den letzten Teil des Namens ab. "m" bedeutet, dass sich der Schädling selbst per Mail versendet. "mm" kennzeichnet besonders gefährliche Massenmailer. Sie versuchen, innerhalb kurzer Zeit möglichst viele infizierte Nachrichten abzuschicken.

So ganz klappt es mit der einheitlichen Namensvergabe allerdings nicht: Manche Hersteller nutzen Plattformkürzel wie "Troj" und "Backdoor" für Trojaner oder "I-Worm" für Würmer. Bekannte Virendatenbanken wiewww.sophos.deoderwww.percomp.deenthalten daher meist mehrere Alias-Namen und Querverweise. W32 & Co.:Was der Name über einen Virus verrät