ビジネスサポートポータルアカウントでログイン
マルウェア検出名の命名ルールについて  

マルウェア検出名の命名ルールについて

    • 更新日:
    • 9 May 2020
    • 製品/バージョン:
    • All
    • OS:
    • N/A N/A
概要
マルウェア検出名の表示が以前の表示形式と変わったように見受けられます。
マルウェア検出名の接頭辞や検出名の示す内容を教えてください。
詳細
Public

命名ルール変更の背景

2018年の7月より、トレンドマイクロはセキュリティ業界の不正プログラムの命名ルールに沿った新命名ルールへと変更いたしました。
業界標準となるComputer Antivirus Research Organization(CARO)のマルウェア命名規則に沿った不正プログラム検出名を付与します。

CAROの標準規格に合わせることで、特にマルチベンダ環境で複数製品での検出名確認を行う際には、標準規格に沿った検出名称のため、製品間での検出名確認や脅威の理解がしやすいというメリットがあります。

検出したマルウェアがどのようなマルウェアか確認したい方はこちら

新命名ルール

以下が新たな不正プログラムの命名ルールとなります。
<脅威タイプ>.<プラットフォーム>.<マルウェア ファミリ名>.<亜種>.<補足情報*1>
*1 オプションのため、本項目がない場合もあります。


 

マルウェア検出名新命名ルールの各項目の説明

脅威タイプ/接頭辞(Threat Type)

Threat Typeは、その脅威の最も顕著な挙動を示したカテゴリを示します。検出名の最初に表記される区分であるため、接頭辞とも呼ばれます。
脅威タイプは、不正プログラムとグレイウェアに大別されます。
  • 不正プログラム:
Trojan, Worm, Virus, Backdoorが最もよく使われる脅威タイプです。
  • グレイウェア:
Adware, Spyware, PUAが最もよく使われる脅威タイプです。

プラットフォーム(Platform)

プラットフォーム部分は、どのようなソフトウェアやハードウェア環境で動作することを意図した不正プログラムであるかを示します。プラットフォームには、Windows(Win32, Win64)、Mac OS、Linux、Android OSなどのオペレーティングシステムやプログラミング言語(スクリプト言語)、ファイルフォーマット(Microsoft Word/Excel/PowerPoint)等も含まれます。

マルウェアファミリ(Family)

同様の挙動を示す脅威をグループ化したものをマルウェアファミリと呼びます。
それぞれのマルウェアファミリは、それぞれの脅威が示す挙動に基づいて、命名されております。

亜種(Variant)

1つの同じファミリの中での違いを特定するための手段として、順番に付与した文字の部分を亜種と呼んでおります。
亜種ごとに一意の文字列を付与しております。

補足情報(Other Information)※オプション(付与されない場合有)

複雑な脅威のためのより詳細な情報提供を行う場合には、オプション領域を利用する場合があります。

新命名ルール対象

ウイルス検索エンジン(VSAPI) およびスパイウェア検索エンジン(SSAPI)、VSAPI/SSAPIで使用しているパターンファイルが対象となります。
2018年7月までに既に付与されているウイルス検出名やその他の検索エンジンでのウイルス検出名に変更はありません。

マルウェア検出名の主な接頭辞/プラットフォーム情報

現在、トレンドマイクロの製品にて検出されるマルウェア検出名の主な接頭辞/プラットフォーム名称は以下となります。

詳細すべて確認

マルウェア検出名(2018年7月以降:新命名ルール)

脅威タイプ/接頭辞(Threat Type)一覧

接頭辞部分で登場する名称は以下一覧です。

ファイル感染型ウイルス系 (実行可能形式)

接頭辞説明
Virusファイル感染型の不正プログラム。

ワーム系

接頭辞説明
Worm主にワーム活動 (自身のファイルのコピーを作成することにより増殖する活動) を行う不正プログラム。

トロイの木馬系

接頭辞説明
Backdoorインターネット経由でリモートからコンピュータにアクセスが可能とさせる不正プログラム。
DDoSDDoS攻撃に関連した脅威。
Ransomランサムウェア(ユーザのコンピュータ内にある任意のファイルを暗号化し、元に戻すための暗号解除アプリケーションを売りつける不正なソフトウェア)。
Rootkitルートキット(ユーザの承認なしでコンピュータに不正コードをインストールして実行するプログラム)。
Trojanトロイの木馬(ユーザーに気付かれないように、不正活動を行うプログラム)。
TrojanClickerクリッカー型のトロイの木馬(特定のサイトに勝手にアクセスさせることを意図した不正プログラム)。
TrojanProxyプロキシ型のトロイの木馬(感染した端末のIPアドレスの変更を行う不正プログラム)。
TrojanSpy機密情報や個人情報の送出等、不正な目的があるスパイウェア。

非不正プログラム(グレーゾーンプログラム=スパイウェアパターンに収録)

接頭辞説明
Adwareアドウェア。主に広告表示を行なうためのプログラム。スパイウェア的活動を含むこともある。
Dialerダイヤルアップなどネットワーク接続の設定を変更するためのプログラム。活動内容や頒布時の条件によって特に悪質なものは不正なプログラムとして対応。
HackToolハッキングツール。主に悪意のハッカーにより使用され、管理者権限の奪取、脆弱性への攻撃など不正活動をアシストするためのプログラム。正規のプログラムが悪用される場合がある。
Joke一般的に「ジョークソフト」と呼ばれる実害のないプログラムの類を検出したことを示す。
PUAユーザのセキュリティやプライバシーに対して予期しない影響を及ぼす可能性のあるアプリケーション。
Spywareスパイウェア。主にユーザのプライバシー情報を記録したり外部に送信したりするプログラム。

プラットフォーム一覧

プラットフォーム部分で登場する名称は以下一覧です。

オペレーティングシステム系

プラットフォーム名説明
AndroidOSAndroidOSプラットフォーム。
DOSMS-DOSプラットフォーム。
EPOCPsionプラットフォーム(Symbianの前身)。
FreeBSDFree BSDプラットフォーム。
iOSiOSプラットフォーム。
LinuxLinuxプラットフォーム全般。
MacOSMac OS Ⅹ以降のプラットフォーム。
NetwareNovell Netwareプラットフォーム。
SolarisSystem-VベースのUnixプラットフォーム。
SunOSUnixプラットフォーム 4.1.3以降。
SymbOSSymbian OSプラットフォーム。
UnixUnixプラットフォーム全般。
Win16Windows 3.1プラットフォーム。
Win32Windows 32bitプラットフォーム。
Win64Windows 64bitプラットフォーム。
WinCEWindows CE、Windows Mobileプラットフォーム。
WinNTWindows NTプラットフォーム。

マクロ系

プラットフォーム名説明
A97MAccess マクロ。
AMAccess 2.0、Access 95のマクロ。
AmiProAmiProのマクロ。
O97MMicrosoft Office 製品マクロ(複数製品で動作する場合に付与)。
P97MPowerPoint 97, 2000, XP, 2003, 2007, 2010マクロ。
V5MVisio 5マクロ。
W97MWord 97, 2000, XP, 2003, 2007, 2010 マクロ。
WMWord 95マクロ。
X97MExcel 97, 2000, XP, 2003, 2007, 2010マクロ。
XFExcel数式。
XMExcel 95マクロ。

スクリプト系

プラットフォーム名説明
ABAPAdvanced Business Application Programming(ABAP)スクリプト。
ACMAutoCAD コマンドファイル (マクロ)。
ASPASPスクリプト。
AutoItAutoItスクリプト。
BATバッチファイル (DOS のバッチスクリプトで記述されたプログラム)。
CorelScriptCorelスクリプト。
HTMLHTMLアプリケーションスクリプト。
IRCIRC スクリプト (「IRC」クライアント用のスクリプトで記述されたプログラム)。
MSIL.NETスクリプト言語。
PerlPerlスクリプト。
PHPPHPスクリプト。
PythonPythonスクリプト。
SAPSAPスクリプト。
SHシェルスクリプト。
VBSVisual Basicスクリプト。
WinBATWinBatchスクリプト。
WinHlpWindows Helpスクリプト。
WinREGWindowsレジストリスクリプト。
WSFWindowsスクリプトファイル。

ファイルの種類

プラットフォーム名説明
HWPHangul Office/Hangul Wordファイル。
INFインストールスクリプト。
JTD一太郎ドキュメントファイル。
SBStarBasic(Staroffice XML)ファイル。
SWFフラッシュファイル。
TSQLMS SQLサーバファイル。
WASMWebアセンブリ。
ASXWindows Media asfファイルのXMLメタファイル。
JavaJavaバイナリ(クラス型)。
PDFPDFドキュメントファイル。
QTQuicktimeファイル。
XMLXMLファイル。

ジェネリック検出(※新命名ルール適用に伴う名称変更無し)

接頭辞説明
Possible
MAL
ジェネリック検索で検出された不正な疑いのあるファイル。不正な動作をすることを裏付けるためのサンプルファイルが取得できない場合や、実際には不正コードを含まない関連ファイル (設定ファイルやログファイルなど) が対象である場合は、固有の検出名を割り当てない (ジェネリック検出の検出名を維持する) ことがある。ジェネリック検出では、誤検出によるシステムへの影響を考慮し、「Possible」と「Mal」の2段階に分け検出機能が提供されます。
ジェネリック検出の詳細は、関連リンクをご確認ください。
CRYP不正な圧縮・暗号化が行われており不正プログラムの疑いが強いファイル。不正な動作をすることを裏付けるためのサンプルファイルが取得できない場合や、実際には不正コードを含まない関連ファイル(設定ファイルやログファイルなど)が対象である場合は、固有の検出名を割り当てない(ジェネリック検出の検出名を維持する)ことがある。
PAK一般的ではないパッカー圧縮形式 (例:UPX、UNPACK など) で圧縮されており、不正プログラムの疑いが強いファイル。

ヒューリスティック検出(※新命名ルール適用に伴う名称変更無し)

接頭辞説明
HEUR
ウイルスの種類を示すものではなく、ヒューリスティック検索用パターンの示す接頭辞です。トレンドマイクロでは、近年の急速なウイルス増加にともない、プロアクティブにお客さまを守るために、ヒューリステック検索機能を実装。

関連リンク

ヒューリスティック検出で利用される接頭辞「HEUR」の詳細につきましては、以下リンクをご参照ください。

接頭辞「HEUR_」「EXPL_」「VAN_」の概要

その他

接頭辞説明
Boot不正プログラムによって改変されたMBR(Master Boot Record)。
Browserブラウザの脆弱性を突く不正プログラム。
Coinminer仮想通貨発掘ツール(コインマイナー)によって不正なコインマイニング(仮想通貨発掘)を行うプログラム。
Exploit
EXPL
セキュリティホールを攻撃するための不正コード(EXPLOIT)。
IoTIoT(Internet of Things)関連の不正プログラム。
VAN
Deep Discovery ファミリーが持つ「仮想アナライザ」によって検出されたファイル。

関連リンク

接頭辞「EXPL」「VAN」で検出された際の対応方法は、以下リンクもご確認ください。

接頭辞「HEUR_」「EXPL_」「VAN_」の概要

参考:マルウェア検出名(2018年7月以前:旧命名ルール)

ファイル感染型ウイルス系 (実行可能形式)

接頭辞説明
PEPE 形式の実行可能ファイル (32bit の Windows) に感染するファイル感染型ウイルス。
NENE 形式の実行可能ファイル (16bit の Windows) に感染するファイル感染型ウイルス。
W6464bit の Windows 上で感染するファイル感染型ウイルス。

ワーム系

接頭辞説明
WORM
WORM64
主にワーム活動 (自身のファイルのコピーを作成することにより増殖する活動) を行う不正プログラム (64 は 64bit を指します)。

トロイの木馬系

接頭辞説明
TROJ
TROJ64
トロイの木馬型不正プログラム (他のファイルへの感染活動や増殖活動を持たない不正プログラム)。基本的に被害者のコンピュータ内で単体で活動を行います (64 は 64 bit を指します)。
TSPY TSPY64主に情報漏洩 (スパイ活動) につながる不正活動を行うトロイの木馬。情報漏洩型ハッキングツール、とも言われます (64 は 64 bit を指します)。
BKDR
BKDR64
主にバックドア活動 (外部からのリモートアクセス/コントロールを可能にする) を行うトロイの木馬。バックドア型ハッキングツール、とも言われます (64 は 64 bit を指します)。
RTKT
RTKT64
自身のファイル及びプロセスを隠匿するルートキット機能を備えているトロイの木馬 (64 は 64 bit を指します)。
DDOS主に DDoS ツールの活動を行うトロイの木馬。
PTCH
PTCH64
再感染する機能をもたないトロイの木馬 (64 は 64 bit を指します)。
Ransomシステムへのアクセスを制限し、「身代金」を要求する不正プログラム。

マクロ系

接頭辞説明
O97MMicrosoft Office 製品に感染可能なマクロウイルス。
W2KM
W97M
WM
Word のマクロウイルス。
X2KM
X97M
XM
Excel のマクロウイルス。
XFExcel のファンクション機能を利用した不正 VBA プログラム。一般的にはマクロウイルスに分類。
P2KM
P97M
PowerPoint のマクロウイルス。
A97M
AM
A2KM
Access のマクロウイルス。
V2KM
V5M
Visio のマクロウイルス。
APMAmiPro のマクロウイルス。
PU97MMicrosoft Publisher のマクロウイルス。

スクリプト系

接頭辞説明
BAT不正バッチファイル (DOS のバッチスクリプトで記述された不正プログラム)。
VBS不正 VB スクリプト (VisualBasic スクリプトで記述された不正プログラム)。
JSJavaScript (Script) の不正プログラム (JavaScript (Script) で記述された不正プログラム)。
IRC不正 IRC スクリプト (「IRC」クライアント用のスクリプトで記述された不正プログラム)。
PERL不正 Perl スクリプト (Perl スクリプトで記述された不正プログラム)。
PHP不正 PHP スクリプト (PHP スクリプトで記述された不正プログラム)。
CSC「Corel Script」で記述された不正プログラム。「Corel」は主に Linux 用ソフト開発を行なっているソフトウェア会社が作ったスクリプト言語。
REG不正レジストリスクリプトファイル。
HTML不正 HTML ファイル。
XML不正 XML ファイル。
ALS不正 AutoCAD コマンドファイル (スクリプト)。
ACM不正 AutoCAD コマンドファイル (マクロ)。
ABAPSAP システム用の開発言語「ABAP (Advanced Business Application Programming Language)」で記述された不正プログラム。
FERFerite スクリプトで記述された不正プログラム。
MATLMATLAB 言語で記述された不正プログラム。

ファイルの種類

接頭辞説明
CHM「コンパイル済み HTML ヘルプファイル」で不正活動を行うもの。
HLP不正 HELP ファイル。
INF不正 INF ファイル。
PIF不正 PIF ファイル。
SWF不正 ShockWaveFlash ファイル。
ATVXActiveX の不正プログラム。
JAVAJava の不正プログラム。
J2MEJava 2 Platform, Micro Edition の不正プログラム。
ASF不正な ASF 形式のファイル。
LEVXD (Virtual Device Drivers) の不正プログラム。
PRJMMicrosoft Project 98 の不正プログラム。
WBSWebexpress Website の不正プログラム。
WPROWordPro の不正プログラム。
LNK不正活動に使用されるショートカットファイル。
PDFPDFの不正プログラム。
WASMWebAssembly で記述された不正プログラム。

プラットフォーム系

接頭辞説明
ELFELF 形式 (UNIX、LINUX などの実行可能形式) の不正プログラム。
UNIXUNIX スクリプトの不正プログラム。
SymbOSPDA や携帯電話に採用されている「Symbian OS」の不正プログラム。
PALMPalmOS の不正プログラム。
WINCEWindowsCE (PocketPC) の不正プログラム。
MAC
OSX
OSX64
マッキントッシュ OS の不正プログラム(64 は 64 bit を指します)。
BBOSBlack Berry の不正プログラム。
BOOT不正プログラムによって改変されたMBR(Master Boot Record)。
BEOSBeOS の不正プログラム。
AndroidOSAndroid OS の不正プログラム。
IOSiOS の不正プログラム。
EPOC
EPOC上で動作する不正プログラム。
BREX
ブラウザ拡張機能の不正プログラム。

非不正プログラム(グレーゾーンプログラム=スパイウェアパターンに収録)

接頭辞説明
JOKE一般的に「ジョークソフト」と呼ばれる実害のないプログラムの類を検出したことを示す。
SPYW
SPYWARE_
スパイウェア。主にユーザのプライバシー情報を記録したり外部に送信したりするプログラム。
ADWアドウェア。主に広告表示を行なうためのプログラム。スパイウェア的活動を含むこともある。
DIALダイヤルアップなどネットワーク接続の設定を変更するためのプログラム。活動内容や頒布時の条件によって特に悪質なものは不正なプログラムとして対応。
HKTLハッキングツール。主に悪意のハッカーにより使用され、管理者権限の奪取、脆弱性への攻撃など不正活動をアシストするためのプログラム。正規のプログラムが悪用される場合がある。
RAPリモートコントロール用ソフトウェア。活動内容や頒布時の条件によって特に悪質なものは不正なプログラム(ハッキングツール)として対応。
CRCKクラックツール。クラッキングツール、クラッカーツールとも呼ばれる。パスワードの解読、正規アプリケーションの改造、脆弱性の探知、などのためのツール。元々はシステム管理者などが使用するための正規ツールが悪用されることが多い。
PUAユーザのセキュリティやプライバシーに対して予期しない影響を及ぼす可能性のあるアプリケーション。
COOKIETracking Cookies」や「Data Miner」と呼ばれるCookieファイルです。Cookieファイルですのでこのファイル自体が危険な活動を行うことはありません。複数のWebサイトでユーザの情報収集に利用される可能性もある。

その他

接頭辞説明
COINMINER仮想通貨発掘ツール(コインマイナー)によって不正なコインマイニング(仮想通貨発掘)を行うプログラム。
EXPL
セキュリティホールを攻撃するための不正コード(EXPLOIT)。
IoTIoT(Internet of Things)関連の不正プログラム。
VAN
Deep Discovery ファミリーが持つ「仮想アナライザ」によって検出されたファイル。
EICAR
EICAR(European Institute of Computer Anti-virus Research)によってワクチンソフトの動作テストのために開発された無害なファイルに対する検出。

 接頭辞およびプラットフォーム名は予告なしに追加される場合があります。
Premium
Internal
Partner
評価:
カテゴリ:
Remove a Malware / Virus; ウイルス対処方法
Solution Id:
1306448
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド