#1 楼
不同的AV供应商使用不同的命名约定。他们中的许多人在其网站上描述了这些约定。例如:http://www.microsoft.com/security/portal/mmpc/shared/malwarenaming.aspx
http://www.symantec.com/ security_response / virusnaming.jsp
http://www.avira.com/en/support-malware-naming-conventions
AV供应商有时会尝试使用与其他AV供应商相同的名称对于著名的恶意软件家族,但这是不能保证的,并且变得越来越普遍。例如,Microsoft,Sophos,CA和McAfee都将著名的Conficker系列称为“ Conficker”,而Symantec则将其称为“ Downadup”。姓氏,几乎不会与变体名称保持同步。因此,例如,Microsoft检测到的文件为Conficker.B,CA可能检测到的文件为Conficker.C。检测名称和AV引擎名称。或者更好的方法是,仅提供文件哈希值,然后让人们在VirusTotal这样的网站上查找它。
#2 楼
要考虑的是通用检测名称。通用检测旨在捕获尽可能多的恶意软件样本,同时避免误报。可以使它们触发打包程序或混淆,非常规行为等。虽然这会提高覆盖率,但最终结果是您可以使用相同的名称检测到多个不相关的恶意软件样本。这使得识别您面临的特定恶意软件更加困难。 Microsoft通常会很好地检测带有特定名称的样本,因此,我通常首先查看其检测名称。在示例中,您提供的所有名称都是通用的:Obfuscated_A可能会在混淆代码上触发,WS.Reputation.1很可能基于文件信誉,而Malware-Cryptor.General.2可能会检测到打包程序。
#3 楼
我想补充一点,该恶意软件是根据其中检测到的内容来命名的。例如,MyDoomSchmugar在程序代码的一行中注意到文本“ mydom”后选择了名称。他指出:“很明显,这会非常大。我认为以'doom'为名将是适当的。” (资料来源:维基百科)
Flamer的程序代码中有很多名为“ Flame”的函数。
在反病毒公司工作时,我总是对命名习惯感到非常开心。名称的原因是为了确保您正在谈论的是相同的恶意软件(md5散列很难说)。还可以装饰家庭(“只是”略有不同但基本相同的恶意软件)。这就是为什么获得Conficker.A和Conficker.B的原因(如@JasonGeffer所说)。 Microsoft B之所以成为Sophos A的原因是,Microsoft首先在其蜜罐中找到了该家族的另一个样本:) ://www.eicar.com
评论
实际上,我们很少从内容中选择某些东西,因为很难找到任何好的东西。通常,我们通常只是空想而已-当然,我们还没有使用过。
–彼得·弗里
2014年1月8日在19:33
@peterferrie有趣的是,即使反病毒公司也有所不同。但是话又说回来,当我第一次听说Conficker时,它被称为Kido。在我了解了整个行星之后,Conficker有人将其命名为DownAUp。
– Stolas
2014年1月9日在9:02
@Stolas:我猜AV研究人员由于捡东西而被烧死了。公司的传说是,有人选择了一个单词,该单词的意思是外语确实很不礼貌。我们公司以外的每个人都将其归因于特定的研究人员。直到那个研究人员首先注意到这个名字,并告知其他(不知情的)研究人员在某种语言中的含义。因此,越抽象越好。
– 0xC0000022L♦
2014年1月10日,0:14
#4 楼
通常,防病毒公司遵循计算机防病毒研究组织(CARO)提出的命名约定。恶意软件通常根据在其中找到的字符串来获得名称。在某些情况下,基于Mutex /文件名/服务器名称/注册表项,而很少基于其操作。 (例如:Obfuscated_A,WS.Reputation.1)
评论
CARO->计算机防病毒研究机构?
– Stolas
2014年1月9日9:00
@Stolas是的,你是对的:)
–帕拉尼安邦巴拉(Balaniyappan Bala)
2014年1月9日在9:13
@PalaniyappanBala:实际上这是不正确的。统一命名方案的所有努力都已失败。这些规范当然存在,但是有太多例外要求它们“遵循”它。这既出于实际原因,也出于竞争原因。披露:我本人在一家视听公司工作。
– 0xC0000022L♦
2014年1月9日17:20
评论
稍微补充一点,许多视音频公司直接避免使用二进制文件中的通用名称/字符串作为恶意软件的直接名称(尽管它们经常以嵌入的字符串为起点),因为他们认为这使恶意软件作者具有“知名度” ”,而他们不想推广自己的工作。
–fileoffset
2014年1月13日下午4:10