命名ルール変更の背景
2018年の7月より、トレンドマイクロはセキュリティ業界の不正プログラムの命名ルールに沿った新命名ルールへと変更いたしました。
業界標準となるComputer Antivirus Research Organization(CARO)のマルウェア命名規則に沿った不正プログラム検出名を付与します。
CAROの標準規格に合わせることで、特にマルチベンダ環境で複数製品での検出名確認を行う際には、標準規格に沿った検出名称のため、製品間での検出名確認や脅威の理解がしやすいというメリットがあります。
検出したマルウェアがどのようなマルウェアか確認したい方はこちら
新命名ルール
以下が新たな不正プログラムの命名ルールとなります。<脅威タイプ>.<プラットフォーム>.<マルウェア ファミリ名>.<亜種>.<補足情報*1>
*1 オプションのため、本項目がない場合もあります。
マルウェア検出名新命名ルールの各項目の説明
脅威タイプ/接頭辞(Threat Type)
Threat Typeは、その脅威の最も顕著な挙動を示したカテゴリを示します。検出名の最初に表記される区分であるため、接頭辞とも呼ばれます。脅威タイプは、不正プログラムとグレイウェアに大別されます。
- 不正プログラム:
Trojan, Worm, Virus, Backdoorが最もよく使われる脅威タイプです。
- グレイウェア:
Adware, Spyware, PUAが最もよく使われる脅威タイプです。
プラットフォーム(Platform)
プラットフォーム部分は、どのようなソフトウェアやハードウェア環境で動作することを意図した不正プログラムであるかを示します。プラットフォームには、Windows(Win32, Win64)、Mac OS、Linux、Android OSなどのオペレーティングシステムやプログラミング言語(スクリプト言語)、ファイルフォーマット(Microsoft Word/Excel/PowerPoint)等も含まれます。
マルウェアファミリ(Family)
同様の挙動を示す脅威をグループ化したものをマルウェアファミリと呼びます。
それぞれのマルウェアファミリは、それぞれの脅威が示す挙動に基づいて、命名されております。
亜種(Variant)
1つの同じファミリの中での違いを特定するための手段として、順番に付与した文字の部分を亜種と呼んでおります。
亜種ごとに一意の文字列を付与しております。
補足情報(Other Information)※オプション(付与されない場合有)
複雑な脅威のためのより詳細な情報提供を行う場合には、オプション領域を利用する場合があります。
新命名ルール対象
ウイルス検索エンジン(VSAPI) およびスパイウェア検索エンジン(SSAPI)、VSAPI/SSAPIで使用しているパターンファイルが対象となります。
2018年7月までに既に付与されているウイルス検出名やその他の検索エンジンでのウイルス検出名に変更はありません。
マルウェア検出名の主な接頭辞/プラットフォーム情報
現在、トレンドマイクロの製品にて検出されるマルウェア検出名の主な接頭辞/プラットフォーム名称は以下となります。
マルウェア検出名(2018年7月以降:新命名ルール)
脅威タイプ/接頭辞(Threat Type)一覧
接頭辞部分で登場する名称は以下一覧です。
ファイル感染型ウイルス系 (実行可能形式)
| 接頭辞 | 説明 |
|---|---|
| Virus | ファイル感染型の不正プログラム。 |
ワーム系
| 接頭辞 | 説明 |
|---|---|
| Worm | 主にワーム活動 (自身のファイルのコピーを作成することにより増殖する活動) を行う不正プログラム。 |
トロイの木馬系
| 接頭辞 | 説明 |
|---|---|
| Backdoor | インターネット経由でリモートからコンピュータにアクセスが可能とさせる不正プログラム。 |
| DDoS | DDoS攻撃に関連した脅威。 |
| Ransom | ランサムウェア(ユーザのコンピュータ内にある任意のファイルを暗号化し、元に戻すための暗号解除アプリケーションを売りつける不正なソフトウェア)。 |
| Rootkit | ルートキット(ユーザの承認なしでコンピュータに不正コードをインストールして実行するプログラム)。 |
| Trojan | トロイの木馬(ユーザーに気付かれないように、不正活動を行うプログラム)。 |
| TrojanClicker | クリッカー型のトロイの木馬(特定のサイトに勝手にアクセスさせることを意図した不正プログラム)。 |
| TrojanProxy | プロキシ型のトロイの木馬(感染した端末のIPアドレスの変更を行う不正プログラム)。 |
| TrojanSpy | 機密情報や個人情報の送出等、不正な目的があるスパイウェア。 |
非不正プログラム(グレーゾーンプログラム=スパイウェアパターンに収録)
| 接頭辞 | 説明 |
|---|---|
| Adware | アドウェア。主に広告表示を行なうためのプログラム。スパイウェア的活動を含むこともある。 |
| Dialer | ダイヤルアップなどネットワーク接続の設定を変更するためのプログラム。活動内容や頒布時の条件によって特に悪質なものは不正なプログラムとして対応。 |
| HackTool | ハッキングツール。主に悪意のハッカーにより使用され、管理者権限の奪取、脆弱性への攻撃など不正活動をアシストするためのプログラム。正規のプログラムが悪用される場合がある。 |
| Joke | 一般的に「ジョークソフト」と呼ばれる実害のないプログラムの類を検出したことを示す。 |
| PUA | ユーザのセキュリティやプライバシーに対して予期しない影響を及ぼす可能性のあるアプリケーション。 |
| Spyware | スパイウェア。主にユーザのプライバシー情報を記録したり外部に送信したりするプログラム。 |
プラットフォーム一覧
プラットフォーム部分で登場する名称は以下一覧です。
オペレーティングシステム系
| プラットフォーム名 | 説明 |
|---|---|
| AndroidOS | AndroidOSプラットフォーム。 |
| DOS | MS-DOSプラットフォーム。 |
| EPOC | Psionプラットフォーム(Symbianの前身)。 |
| FreeBSD | Free BSDプラットフォーム。 |
| iOS | iOSプラットフォーム。 |
| Linux | Linuxプラットフォーム全般。 |
| MacOS | Mac OS Ⅹ以降のプラットフォーム。 |
| Netware | Novell Netwareプラットフォーム。 |
| Solaris | System-VベースのUnixプラットフォーム。 |
| SunOS | Unixプラットフォーム 4.1.3以降。 |
| SymbOS | Symbian OSプラットフォーム。 |
| Unix | Unixプラットフォーム全般。 |
| Win16 | Windows 3.1プラットフォーム。 |
| Win32 | Windows 32bitプラットフォーム。 |
| Win64 | Windows 64bitプラットフォーム。 |
| WinCE | Windows CE、Windows Mobileプラットフォーム。 |
| WinNT | Windows NTプラットフォーム。 |
マクロ系
| プラットフォーム名 | 説明 |
|---|---|
| A97M | Access マクロ。 |
| AM | Access 2.0、Access 95のマクロ。 |
| AmiPro | AmiProのマクロ。 |
| O97M | Microsoft Office 製品マクロ(複数製品で動作する場合に付与)。 |
| P97M | PowerPoint 97, 2000, XP, 2003, 2007, 2010マクロ。 |
| V5M | Visio 5マクロ。 |
| W97M | Word 97, 2000, XP, 2003, 2007, 2010 マクロ。 |
| WM | Word 95マクロ。 |
| X97M | Excel 97, 2000, XP, 2003, 2007, 2010マクロ。 |
| XF | Excel数式。 |
| XM | Excel 95マクロ。 |
スクリプト系
| プラットフォーム名 | 説明 |
|---|---|
| ABAP | Advanced Business Application Programming(ABAP)スクリプト。 |
| ACM | AutoCAD コマンドファイル (マクロ)。 |
| ASP | ASPスクリプト。 |
| AutoIt | AutoItスクリプト。 |
| BAT | バッチファイル (DOS のバッチスクリプトで記述されたプログラム)。 |
| CorelScript | Corelスクリプト。 |
| HTML | HTMLアプリケーションスクリプト。 |
| IRC | IRC スクリプト (「IRC」クライアント用のスクリプトで記述されたプログラム)。 |
| MSIL | .NETスクリプト言語。 |
| Perl | Perlスクリプト。 |
| PHP | PHPスクリプト。 |
| Python | Pythonスクリプト。 |
| SAP | SAPスクリプト。 |
| SH | シェルスクリプト。 |
| VBS | Visual Basicスクリプト。 |
| WinBAT | WinBatchスクリプト。 |
| WinHlp | Windows Helpスクリプト。 |
| WinREG | Windowsレジストリスクリプト。 |
| WSF | Windowsスクリプトファイル。 |
ファイルの種類
| プラットフォーム名 | 説明 |
|---|---|
| HWP | Hangul Office/Hangul Wordファイル。 |
| INF | インストールスクリプト。 |
| JTD | 一太郎ドキュメントファイル。 |
| SB | StarBasic(Staroffice XML)ファイル。 |
| SWF | フラッシュファイル。 |
| TSQL | MS SQLサーバファイル。 |
| WASM | Webアセンブリ。 |
| ASX | Windows Media asfファイルのXMLメタファイル。 |
| Java | Javaバイナリ(クラス型)。 |
| PDFドキュメントファイル。 | |
| QT | Quicktimeファイル。 |
| XML | XMLファイル。 |
ジェネリック検出(※新命名ルール適用に伴う名称変更無し)
| 接頭辞 | 説明 |
|---|---|
| Possible MAL | ジェネリック検索で検出された不正な疑いのあるファイル。不正な動作をすることを裏付けるためのサンプルファイルが取得できない場合や、実際には不正コードを含まない関連ファイル (設定ファイルやログファイルなど) が対象である場合は、固有の検出名を割り当てない (ジェネリック検出の検出名を維持する) ことがある。ジェネリック検出では、誤検出によるシステムへの影響を考慮し、「Possible」と「Mal」の2段階に分け検出機能が提供されます。 ジェネリック検出の詳細は、関連リンクをご確認ください。 |
| CRYP | 不正な圧縮・暗号化が行われており不正プログラムの疑いが強いファイル。不正な動作をすることを裏付けるためのサンプルファイルが取得できない場合や、実際には不正コードを含まない関連ファイル(設定ファイルやログファイルなど)が対象である場合は、固有の検出名を割り当てない(ジェネリック検出の検出名を維持する)ことがある。 |
| PAK | 一般的ではないパッカー圧縮形式 (例:UPX、UNPACK など) で圧縮されており、不正プログラムの疑いが強いファイル。 |
関連リンク
ジェネリック検出の詳細に関しては、関連リンクをご参照ください。
事前予防(Generic)検出パターンにて検出された疑わしきファイル(「Possible_」、「CRYP_」または「Mal_」)への対応方法について
ヒューリスティック検出(※新命名ルール適用に伴う名称変更無し)
| 接頭辞 | 説明 |
|---|---|
| HEUR |
ウイルスの種類を示すものではなく、ヒューリスティック検索用パターンの示す接頭辞です。トレンドマイクロでは、近年の急速なウイルス増加にともない、プロアクティブにお客さまを守るために、ヒューリステック検索機能を実装。
|
その他
| 接頭辞 | 説明 |
|---|---|
| Boot | 不正プログラムによって改変されたMBR(Master Boot Record)。 |
| Browser | ブラウザの脆弱性を突く不正プログラム。 |
| Coinminer | 仮想通貨発掘ツール(コインマイナー)によって不正なコインマイニング(仮想通貨発掘)を行うプログラム。 |
| Exploit EXPL |
セキュリティホールを攻撃するための不正コード(EXPLOIT)。
|
| IoT | IoT(Internet of Things)関連の不正プログラム。 |
| VAN |
Deep Discovery ファミリーが持つ「仮想アナライザ」によって検出されたファイル。
|
参考:マルウェア検出名(2018年7月以前:旧命名ルール)
ファイル感染型ウイルス系 (実行可能形式)
| 接頭辞 | 説明 |
|---|---|
| PE | PE 形式の実行可能ファイル (32bit の Windows) に感染するファイル感染型ウイルス。 |
| NE | NE 形式の実行可能ファイル (16bit の Windows) に感染するファイル感染型ウイルス。 |
| W64 | 64bit の Windows 上で感染するファイル感染型ウイルス。 |
ワーム系
| 接頭辞 | 説明 |
|---|---|
| WORM WORM64 | 主にワーム活動 (自身のファイルのコピーを作成することにより増殖する活動) を行う不正プログラム (64 は 64bit を指します)。 |
トロイの木馬系
| 接頭辞 | 説明 |
|---|---|
| TROJ TROJ64 | トロイの木馬型不正プログラム (他のファイルへの感染活動や増殖活動を持たない不正プログラム)。基本的に被害者のコンピュータ内で単体で活動を行います (64 は 64 bit を指します)。 |
| TSPY TSPY64 | 主に情報漏洩 (スパイ活動) につながる不正活動を行うトロイの木馬。情報漏洩型ハッキングツール、とも言われます (64 は 64 bit を指します)。 |
| BKDR BKDR64 | 主にバックドア活動 (外部からのリモートアクセス/コントロールを可能にする) を行うトロイの木馬。バックドア型ハッキングツール、とも言われます (64 は 64 bit を指します)。 |
| RTKT RTKT64 | 自身のファイル及びプロセスを隠匿するルートキット機能を備えているトロイの木馬 (64 は 64 bit を指します)。 |
| DDOS | 主に DDoS ツールの活動を行うトロイの木馬。 |
| PTCH PTCH64 | 再感染する機能をもたないトロイの木馬 (64 は 64 bit を指します)。 |
| Ransom | システムへのアクセスを制限し、「身代金」を要求する不正プログラム。 |
マクロ系
| 接頭辞 | 説明 |
|---|---|
| O97M | Microsoft Office 製品に感染可能なマクロウイルス。 |
| W2KM W97M WM | Word のマクロウイルス。 |
| X2KM X97M XM | Excel のマクロウイルス。 |
| XF | Excel のファンクション機能を利用した不正 VBA プログラム。一般的にはマクロウイルスに分類。 |
| P2KM P97M | PowerPoint のマクロウイルス。 |
| A97M AM A2KM
| Access のマクロウイルス。 |
| V2KM V5M | Visio のマクロウイルス。 |
| APM | AmiPro のマクロウイルス。 |
| PU97M | Microsoft Publisher のマクロウイルス。 |
スクリプト系
| 接頭辞 | 説明 |
|---|---|
| BAT | 不正バッチファイル (DOS のバッチスクリプトで記述された不正プログラム)。 |
| VBS | 不正 VB スクリプト (VisualBasic スクリプトで記述された不正プログラム)。 |
| JS | JavaScript (Script) の不正プログラム (JavaScript (Script) で記述された不正プログラム)。 |
| IRC | 不正 IRC スクリプト (「IRC」クライアント用のスクリプトで記述された不正プログラム)。 |
| PERL | 不正 Perl スクリプト (Perl スクリプトで記述された不正プログラム)。 |
| PHP | 不正 PHP スクリプト (PHP スクリプトで記述された不正プログラム)。 |
| CSC | 「Corel Script」で記述された不正プログラム。「Corel」は主に Linux 用ソフト開発を行なっているソフトウェア会社が作ったスクリプト言語。 |
| REG | 不正レジストリスクリプトファイル。 |
| HTML | 不正 HTML ファイル。 |
| XML | 不正 XML ファイル。 |
| ALS | 不正 AutoCAD コマンドファイル (スクリプト)。 |
| ACM | 不正 AutoCAD コマンドファイル (マクロ)。 |
| ABAP | SAP システム用の開発言語「ABAP (Advanced Business Application Programming Language)」で記述された不正プログラム。 |
| FER | Ferite スクリプトで記述された不正プログラム。 |
| MATL | MATLAB 言語で記述された不正プログラム。 |
ファイルの種類
| 接頭辞 | 説明 |
|---|---|
| CHM | 「コンパイル済み HTML ヘルプファイル」で不正活動を行うもの。 |
| HLP | 不正 HELP ファイル。 |
| INF | 不正 INF ファイル。 |
| PIF | 不正 PIF ファイル。 |
| SWF | 不正 ShockWaveFlash ファイル。 |
| ATVX | ActiveX の不正プログラム。 |
| JAVA | Java の不正プログラム。 |
| J2ME | Java 2 Platform, Micro Edition の不正プログラム。 |
| ASF | 不正な ASF 形式のファイル。 |
| LE | VXD (Virtual Device Drivers) の不正プログラム。 |
| PRJM | Microsoft Project 98 の不正プログラム。 |
| WBS | Webexpress Website の不正プログラム。 |
| WPRO | WordPro の不正プログラム。 |
| LNK | 不正活動に使用されるショートカットファイル。 |
| PDFの不正プログラム。 | |
| WASM | WebAssembly で記述された不正プログラム。 |
プラットフォーム系
| 接頭辞 | 説明 |
|---|---|
| ELF | ELF 形式 (UNIX、LINUX などの実行可能形式) の不正プログラム。 |
| UNIX | UNIX スクリプトの不正プログラム。 |
| SymbOS | PDA や携帯電話に採用されている「Symbian OS」の不正プログラム。 |
| PALM | PalmOS の不正プログラム。 |
| WINCE | WindowsCE (PocketPC) の不正プログラム。 |
| MAC OSX OSX64 | マッキントッシュ OS の不正プログラム(64 は 64 bit を指します)。 |
| BBOS | Black Berry の不正プログラム。 |
| BOOT | 不正プログラムによって改変されたMBR(Master Boot Record)。 |
| BEOS | BeOS の不正プログラム。 |
| AndroidOS | Android OS の不正プログラム。 |
| IOS | iOS の不正プログラム。 |
| EPOC |
EPOC上で動作する不正プログラム。
|
| BREX |
ブラウザ拡張機能の不正プログラム。
|
非不正プログラム(グレーゾーンプログラム=スパイウェアパターンに収録)
| 接頭辞 | 説明 |
|---|---|
| JOKE | 一般的に「ジョークソフト」と呼ばれる実害のないプログラムの類を検出したことを示す。 |
| SPYW SPYWARE_ | スパイウェア。主にユーザのプライバシー情報を記録したり外部に送信したりするプログラム。 |
| ADW | アドウェア。主に広告表示を行なうためのプログラム。スパイウェア的活動を含むこともある。 |
| DIAL | ダイヤルアップなどネットワーク接続の設定を変更するためのプログラム。活動内容や頒布時の条件によって特に悪質なものは不正なプログラムとして対応。 |
| HKTL | ハッキングツール。主に悪意のハッカーにより使用され、管理者権限の奪取、脆弱性への攻撃など不正活動をアシストするためのプログラム。正規のプログラムが悪用される場合がある。 |
| RAP | リモートコントロール用ソフトウェア。活動内容や頒布時の条件によって特に悪質なものは不正なプログラム(ハッキングツール)として対応。 |
| CRCK | クラックツール。クラッキングツール、クラッカーツールとも呼ばれる。パスワードの解読、正規アプリケーションの改造、脆弱性の探知、などのためのツール。元々はシステム管理者などが使用するための正規ツールが悪用されることが多い。 |
| PUA | ユーザのセキュリティやプライバシーに対して予期しない影響を及ぼす可能性のあるアプリケーション。 |
| COOKIE | Tracking Cookies」や「Data Miner」と呼ばれるCookieファイルです。Cookieファイルですのでこのファイル自体が危険な活動を行うことはありません。複数のWebサイトでユーザの情報収集に利用される可能性もある。 |
その他
| 接頭辞 | 説明 |
|---|---|
| COINMINER | 仮想通貨発掘ツール(コインマイナー)によって不正なコインマイニング(仮想通貨発掘)を行うプログラム。 |
| EXPL |
セキュリティホールを攻撃するための不正コード(EXPLOIT)。
|
| IoT | IoT(Internet of Things)関連の不正プログラム。 |
| VAN |
Deep Discovery ファミリーが持つ「仮想アナライザ」によって検出されたファイル。
|
| EICAR |
EICAR(European Institute of Computer Anti-virus Research)によってワクチンソフトの動作テストのために開発された無害なファイルに対する検出。
|
※ 接頭辞およびプラットフォーム名は予告なしに追加される場合があります。