Terminologia del malware
First, is there a standard defining these terms in an unambiguous way?
Il malware è un termine generico che include qualsiasi ware morbido che esegue azioni mal . Esistono diversi nomi comuni per varie classi di malware. Le definizioni specifiche cambiano spesso nel tempo, come nel caso del termine "virus". Le definizioni comuni per varie forme di malware sono:
-
I virus modificano i programmi esistenti, "infettandoli" in modo che la loro esecuzione inneschi anche la diffusione del virus, fino a quando il computer non viene completamente riempito con software mal intenzionalmente modificato. I veri virus sono abbastanza rari oggi, ma il termine continua ad essere usato come sinonimo di malware.
-
I Trojan si travestono da programmi innocui, come videogiochi o screen saver. Richiedono l'interazione dell'utente da eseguire. Questi sono comuni in torrent.
-
I Worm si diffondono da soli attraverso la rete, spesso sfruttando le vulnerabilità del software nei servizi di rete. Un worm che sfrutta il popolare software può diffondersi estremamente rapidamente. Uno dei primi worm, SQL Slammer, un programma da 376 byte, ha infettato 75.000 computer nei primi 10 minuti. Ha rallentato l'intero Internet proprio come risultato della replica aggressiva.
-
I rootkit sono strumenti per l'escalation dei privilegi di auto-nascondino. Sono progettati per incorporarsi in un sistema con un elevato livello di privilegio, garantendo che nulla che viene eseguito sul computer possa rilevarlo. I rootkit sono spesso in grado di eludere completamente il software antivirus. I rootkit che infettano il processo di avvio per dirottare il sistema all'inizio durante l'avvio del sistema sono spesso chiamati bootkits.
-
Ransomware è vecchio, ma recentemente ha guadagnato popolarità. Il semplice ransomware blocca semplicemente il computer della vittima fino a quando non viene pagato un riscatto. Un ransomware più moderno e sofisticato in realtà crittografa i file e si rifiuta di decodificare fino al pagamento di un riscatto. Spesso questi programmi fanno uno sforzo minimo per evitare la rimozione, poiché il loro lavoro viene eseguito non appena vengono eseguiti per la prima volta.
-
Spyware è una classe di software dannoso che monitora le attività private di un utente e ne riferisce al proprietario dello spyware. Può essere usato da chiunque, dagli stalker ai ladri di identità.
-
L'adware è tra le forme meno dannose di malware. L'adware include qualsiasi software che visualizza o inietta annunci pubblicitari su un computer. È considerato dannoso quando viene installato senza consenso o tenta di evitare la rimozione. È comunemente implementato come barra degli strumenti del browser.
Il malware può appartenere a più classi. Un programma che si diffonde sulla rete e si incorpora nel kernel per la persistenza sarebbe, ad esempio, sia un worm che un rootkit.
Exploits vs executables
Second, in case malware is the umbrella for all harmful softwares, I am thinking of categorizing it into a dichotomy of exploits and executables.
Gli exploit non sono malevoli. Un exploit è qualsiasi cosa tenti di utilizzare una vulnerabilità di sicurezza per violare la riservatezza, l'integrità o la disponibilità di un servizio o di un'attività. Il malware sofisticato, in particolare i worm, può contenere exploit per rompere le barriere di sicurezza da diffondere. Tuttavia, tutto il malware rientrerebbe nella classificazione degli eseguibili, poiché sono tutti ware (o almeno un codice eseguibile, come nel caso dello shellcode che non è un file eseguibile da solo, ma piuttosto è iniettato in un processo in esecuzione).
Ciò che sembra descrivere è la differenza tra un worm o un exploit del browser (in grado di diffondersi con poca o nessuna interazione) e un trojan (richiede l'interazione dell'utente per innescare l'infezione). Questa tassonomia non aggiunge nulla alla situazione esistente. Migliorare la terminologia non è particolarmente necessario, poiché questi termini tendono ad essere descrizioni casuali di comportamenti generalmente malevoli.