In che modo i fornitori di AV scelgono i nomi di malware?

Naviga le tue risposte
10

Se dai un'occhiata alla pagina malware recenti di McAfee, vedrai che il i nomi nella colonna "Nome del malware" non sono molto leggibili: Downloader.a!cnz , W32/Autorun.worm.bgh , FakeAlert-SecurityTool.fx , ecc.

Questi nomi mi hanno sempre lasciato perplesso. Sembra che ci sia un sacco di informazioni codificate in questi nomi, ma non riesco a capirlo facilmente, e non riesco a trovare alcun tipo di guida per leggerli.

  • Esistono standard ben definiti (o almeno pratiche comuni) quando si parla di nomi di malware o dipende dai capricci (o dagli standard proprietari) di ciascun fornitore?
  • Esiste un vocabolario ben compreso (ad es. " Autorun " ha un significato specifico standard, come "si basa sulla funzionalità di esecuzione automatica di Windows") e fa sì che i simboli ( ! , . ) abbiano un valore fisso significato particolare?
  • I suffissi di tipo TLD come .ml indicano il paese di origine presunto o sto leggendo quello sbagliato?

Sono consapevole che diversi fornitori di antivirus possono avere stili di denominazione diversi. Sono interessato principalmente a McAfee, ma una buona risposta potrebbe puntare a più riferimenti su come ciascun fornitore assegna i nomi di malware o semplicemente fornire una panoramica di alto livello su come funziona la denominazione dei malware.

    
posta apsillers 27.09.2012 - 22:27
fonte

2 risposte

8

Microsoft utilizza Schema di denominazione CAMARO :

Mitrehapresentatola CME :

The Common Malware Enumeration (CME) initiative aims to provide single, common identifiers to new virus threats (i.e., malware) and to the most prevalent virus threats in the wild for the benefit of the public. Managed and maintained by The MITRE Corporation, CME is not an attempt to solve the challenges involved with naming schemes for viruses and other forms of malware. Instead, it is an effort to facilitate the adoption of a shared, neutral indexing capability for malware.

Un altro articolo sulla denominazione.

    
risposta data 28.09.2012 - 02:47
fonte
5

Molti dei nomi provengono da stringhe presenti nel malware - è un modo facile per dare un nome al codice, dato che ci sono così tante migliaia di nuovi virus / trojan ecc. ogni giorno. .

I suffissi sembrano a volte basati sul tipo di file o sul tipo di attacco, piuttosto che su un dominio di posizione.

In generale, non mi preoccuperei del nome o di cosa significhi (a parte famiglie di virusmalware che vengono categorizzati insieme, ad esempio exampletrojan.a, exampletrojan.b, ecc.) e utilizzarlo solo come identificativo.

    
risposta data 28.09.2012 - 02:28
fonte

Leggi altre domande sui tag

I client BitTorrent possono essere rilevati con le impronte digitali? Esistono statistiche sul supporto TLS di server e browser Web?