Connect with us

technokrata

Egy vírus elnevezési folyamatának rejtélyei

Dotkom

Egy vírus elnevezési folyamatának rejtélyei

A napjainkban megjelenő vírusok egy-egy példánya több néven is szerepelhet a köztudatban, ám nem mindig volt ez így. Az elnevezési rejtély kialakulásának okai és következményei.

A karakterkombinációk használatától a jobban megjegyezhető nevekig többféle variáció is születhet egy-egy vírus azonosítására. Miért van ez igy? Ennek megértéséhez kicsit vissza kell menni az időben.

Az elnevezések egységesítésének kezdete

Körülbelül 11 évvel ezelőtt, még 1991-ben egy biztonsági csoport, név szerint a Computer AntiVirus Researcher Organization (CARO) megpróbált létrehozni egy egységes elnevezési rendszert, amely az 1991 New Virus Naming Convention (NVNC ´91) nevet kapta. Eszerint a vírusok azonosítása a családnév.csoportnév.variáns szisztémára alapult, amely később egy kicsit összetettebbé vált: családnév.csoportnév.elsődleges_variáns.másodlagos_variáns[:esetleges_módosító].

Természetesen a család-, illetve a csoportnevekre is külön szabályokat állítottak fel – ezek között nem szerepelhetett cég, ismert márka, betegség, élő személy neve (ez utóbbi alól kivételt jelentett a vírus készítője).

Ennek következtében a vírusirtó szoftvereket fejlesztő cégek ezt a sémát alkalmazták, ám a média közbeszólt: olyan, a köznyelv számára sokkal érthetőbb elnevezéseket kezdett használni, amelyek nem illettek bele az NVNC ´91 által lefektett szabályrendszerbe.

A rendszer elavul

Természetesen (vagy inkább sajnálatos módon) a változások kikezdték ezt a módszert. Az akkor ismert vírusok olyan típusokkal egészültek ki, mint a makró-, e-mailvírusok, hogy csak pár példát említsünk. Emellett a víruskereső alkalmazások már nemcsak vírusokat voltak képesek keresni és felismerni, hanem például trójai programokat is, illetve olyan szoftvereket, amelyek megnyitják egy esetleges behatolás előtt az addig zárt kapukat. Ezért az NVNC ´91-et megalkotó emberek nagy része nekilátott továbbfejleszteni a rendszert.

Ennek eredményeként már nemcsak az ártó kódosorok korábbi nevei, típusai, variánsai szerepeltek az elnevezésben, hanem a támadási platformra jellemző rövidítés is (például a trojan://X97M/Johar.A. elnevezés egy trójai programot jelöl, amely Excel 97 alatt fejti ki ártó tevékenységét). Ekkor már tisztán látszott, hogy az elnevezési rendszer sosem lehet teljes, hiszen már akkoriban is rengeteg platform nyújtott alapot a támadásoknak, s ezek köre az idő előrehaladtával egyre csak bővült.

Tovább fokozta a nevek kapcsán kialakulófélben levő káoszt az alternatív rendszerek létrejötte (ilyen volt például a GSNC ´99). Különösen a vírusok neveit rövidebbé, egyszerűbbé tevő módszer kezdett népszerűvé válni, ám egy 2001-es prágai konferencián az erre való áttérést a főbb vírusellenes cégek elutasították. Szintén nagy problémaforrást jelent a nevükben dátumot tartalmazó kártevők beazonosítása (jó példa erre a March6 vagy a January Friday 13th), illetve a variánsok korábbi nevükön alapuló, de megváltozott típusainak (Aural – Laura, Golni – Winlog, Nimda – Admin) elnevezése is.

A probléma fontossága

Mégis, miért számít, hogyan neveznek egy vírust? Az analizálással foglalkozó cégek minden hónapban rengeteg bejelentést kapnak vírusokkal kapcsolatban, ezek egy része már ismert vírusok új variánsairól vagy ismert vírusokról szól, s az összes értesítés csak egy része jelöl új kártevőket. Amennyiben nincsen egy jól működő rendszer az azonosításukra, akkor az új variánsok esetleg teljesen új nevet kaphatnak, annak ellenére, hogy egy már létező vírusnak a ˝továbbfejleszett˝ változatai. Szerencsére az elemzőlaboratóriumok rendelkeznek olyan eszközökkel, amelyek (különösen makróvírusok esetén) megkönnyítik a besorolást, felismerve egy már létező kártevő új változatát.

Az ezzel foglalkozó cégek között azonban korábban nem volt olyan szoros az együttműködés, hogy egy-egy újonnan felbukkanó vírus ugyanazt a nevet kapja, mint a gyakorlatilag konkurenciának számító többi cégnél. Ha ehhez még hozzávesszük a média által használt hangzatos elnevezéseket (Kournikova, Britney stb. féreg), máris egyértelműen látszik, miért vannak jelenleg ilyen káosznak tűnő helyzetben a vírusnevek.

Bíztató kilátások

Úgy tűnik, megindult egy kooperáció a számítógépes vírusokkal foglalkozó cégek között. Ezt bizonyítják az olyan elnevezések, mint például a Sircam, a Klez és a Magistr, amelyeket még a média is változtatás nélkül vett át. A jövőben ennek köszönhetően jobban megjegyezhetővé és egyszerűbbé válhat egy-egy vírus beazonosítása, ami nemcsak a felhasználóknak jelent könnyebbséget, hanem a vírusokkal foglalkozó cégeknek is.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek