Connect with us

technokrata

Kavarodás a férgek elnevezése körül

Dotkom

Kavarodás a férgek elnevezése körül

Egy, a Mydoom családba betagozott féregről kiderült, hogy az egy különálló csoportba tartozik.

Nem egyszer előfordul, hogy az antivírus szakértők különböző elnevezéseket használnak egy digitális károkozóra, attól függően, ki melyik IT-biztonsággal foglalkozó cégnél dolgozik. Abban azonban mindenki egyetért, hogy egy könnyen megérthető és megjegyezhető nevet kell kitalálni minden nagyobb fenyegetést jelentő vírusra. Ám míg az egyes kártevők elemzése, s az arra való javítás elkészítése tudományos alapokon nyugszik, az elnevezési procedúráról ez már korántsem mondható el.

A jelenleg uralkodó gyakorlat szerint magában a kódban található szövegek alapján igyekeznek valamilyen egyszerű nevet adni egy-egy féregnek. Néha – mint például a Nimda esetében – ez csupán egy szó megfordításából áll (admin). Ennek eredményeként a felhasználókat jóval könnyebb figyelmeztetni egy komoly veszélyre: fel lehet készíteni az internetezőket a Slammer, a Goner stb. jelentette problémákra. Az egyre szaporodó (havonta akár 100-nál is több féreg jelenhet meg) változatok azonban megnehezítik a dolgot.

Mydoom vagy Evaman?

Többek között ez utóbbi volt az oka annak is, hogy a Mydoom egyik variánsáról hirtelen kiderült, hogy az nem is a Mydoom családhoz tartozik. Nemrég ugyanis ennek a féregnek az egyik tagja az internetes keresőmotorokat támadta, e-mailcímek után kutakodva – ezt követően egy héttel megjelent egy nagyon hasonló működésű kártevő is. Az IT-biztonsággal foglalkozó cégek egy része ezért ezt is a Mydoom családjába sorolta be, de a pontosabb elemzés kiderítette, hogy nem az eredeti férgek alkotójának keze munkáját ˝dicséri˝ az újabb változat. Részletesebb elemzés után kiderült, hogy ugyan számos ponton hasonló a két vírus között, de az újabbat másik néven kell(ene) illetni eltérő működése miatt: így ez lett az Evaman.

Mikko Hyppönen, az F-Secure igazgatója elmondta, hogy az egyik antivírus cég nevezte el ez utóbbit a Mydoom variánsának, a többiek aztán átvették ezt a terminust. Későbbi vizsgálatok után azonban úgy döntöttek, megváltoztatják az elnevezést. ˝Kicsit zavaros helyzet állt elő. A vírusok működésében és kódjaiban hasonlóságok fedezhetők fel. Mindenki ugyanazt a nevet használta egészen addig, amíg valaki komoly figyelmet nem fordított [a féreg átvizsgálására] és nem értesítette a többieket, hogy ez az Evaman család része. Ugyanakkor úgy hisszük, hogy ez utóbbi ugyanabból a forrásból származik, ahonnan a Mydoom.˝ – fejtegette a szakember.

Mindazonáltal a névváltoztatás kétélű fegyver: egyrészt segít betagozni az új fenyegetést, másrészt azonban összezavarhatja a felhasználókat, hogy tulajdonképpen most melyik féreggel szemben is védett rendszerük. Hyppönen elmondta, hogy a névváltoztatás ezért nem is a legjobb ötlet, ahogyan azt még cége, az F-Secure sem tette meg.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek