¿Cómo los proveedores de AV eligen los nombres de malware?

10

Si echa un vistazo a la página malware reciente de McAfee, verá que los nombres en la columna "Nombre de malware" no son fáciles de leer: Downloader.a!cnz , W32/Autorun.worm.bgh , FakeAlert-SecurityTool.fx , etc.

Estos nombres siempre me han desconcertado un poco. Parece que hay mucha información codificada en estos nombres, pero no puedo entenderla fácilmente, y no puedo encontrar ningún tipo de guía para leerlos.

  • ¿Existen estándares bien definidos (o al menos prácticas comunes) cuando se trata de nombrar malware, o depende de los caprichos (o estándares de propiedad) de cada proveedor?
  • ¿Existe un vocabulario bien entendido (por ejemplo, " Autorun " tiene un significado específico estándar, como "se basa en la función de ejecución automática de Windows"), y los símbolos ( ! , . ) tienen un valor fijo significado particular?
  • ¿Los sufijos similares a TLD como .ml indican un país de origen sospechoso, o estoy leyendo mal?

Soy consciente de que diferentes proveedores de antivirus pueden tener diferentes estilos de denominación. Principalmente estoy interesado en McAfee, pero una buena respuesta puede apuntar a múltiples referencias sobre cómo cada proveedor asigna nombres de malware o simplemente proporciona una descripción general de alto nivel de cómo funciona la denominación de malware.

    
pregunta apsillers 27.09.2012 - 22:27
fuente

2 respuestas

8

Microsoft utiliza esquema de denominación CARO :

AMitreseleocurrióla CME :

  

La iniciativa Common Malware Enumeration (CME) tiene como objetivo proporcionar identificadores únicos y comunes a las nuevas amenazas de virus (es decir, el malware) y a las amenazas de virus más frecuentes en la naturaleza para el beneficio del público. Administrado y mantenido por The MITRE Corporation, CME no es un intento de resolver los desafíos relacionados con los esquemas de nombres de virus y otras formas de malware. En su lugar, es un esfuerzo para facilitar la adopción de una capacidad de indexación neutral y compartida para el malware.

Otro artículo sobre denominación.

    
respondido por el rox0r 28.09.2012 - 02:47
fuente
5

Muchos de los nombres provienen de cadenas presentes en el malware: es una forma fácil de nombrar el código, ya que hay tantos miles de virus / troyanos nuevos, etc., por lo que los investigadores rápidamente se quedarán sin nombres geniales. .

Los sufijos a veces se basan en el tipo de archivo o el tipo de ataque, en lugar de en un TLD de ubicación.

En general, no me preocuparía por el nombre o su significado (aparte de las familias de software malicioso de virus que se categorizan juntas, por ejemplo, exampletrojan.a, exampletrojan.b, etc.) y solo lo uso como un identificador.     

respondido por el Rory Alsop 28.09.2012 - 02:28
fuente

Lea otras preguntas en las etiquetas