反病毒供应商如何选择恶意软件名称?

信息安全 恶意软件 杀毒软件
2021-08-27 03:47:54

如果您查看 McAfee最近的恶意软件页面,您会发现“恶意软件名称”列中的名称不是很容易阅读:Downloader.a!cnzW32/Autorun.worm.bghFakeAlert-SecurityTool.fx等。

这些名字总是让我有点困惑。这些名称中似乎包含了很多信息,但我无法轻易理解它,也找不到任何阅读它们的指南。

  • 在命名恶意软件时是否有明确定义的标准(或至少是常见做法),还是取决于每个供应商的突发奇想(或专有标准)?
  • 是否有一个易于理解的词汇表(例如“ Autorun”是否具有标准的特定含义,例如“依赖于 Windows 自动运行功能”),符号 ( !, .) 是否具有固定的特定含义?
  • 类似 TLD 的后缀是否.ml表示可疑的原产国,还是我读错了?

我知道不同的防病毒供应商可能有不同的命名风格。我主要对 McAfee 感兴趣,但一个好的答案可能指向每个供应商如何分配恶意软件名称的多个参考资料,或者只是提供恶意软件命名工作原理的高级概述。

2个回答

Microsoft使用CARO 命名方案

在此处输入图像描述

Mitre 提出了CME

通用恶意软件枚举 (CME) 计划旨在为新的病毒威胁(即恶意软件)和最普遍的病毒威胁提供单一的通用标识符,以造福于公众。CME 由 The MITRE Corporation 管理和维护,并非试图解决病毒和其他形式恶意软件的命名方案所涉及的挑战。相反,它旨在促进采用共享的、中立的恶意软件索引功能。

关于命名的一篇文章

许多名称来自恶意软件中存在的字符串——这是一种命名代码的简单方法,因为每天都有成千上万的新病毒/木马等,因此研究人员会很快用完很酷的名称。

后缀有时似乎基于文件类型或攻击类型,而不是位置 TLD。

一般来说,我不会担心名称或它的含义(除了病毒恶意软件系列被归类在一起,例如 exampletrojan.a、exampletrojan.b 等),只需将其用作标识符。

其它你可能感兴趣的问题
上一篇在最近的 DKIM 漏洞中,有人如何通过查看标头来确定密钥长度? 下一篇网站攻击的真实例子