'바이러스 네이밍'에 해당되는 글 1건

  1. 2009.11.06 웜,바이러스 네이밍은 어떻게 하는 걸까?

우리가 백신을 치료하게 되면 다양한 웜이나 바이러스를 백신업체에서 진단을 하게 됩니다. 그런데 보통 보면 알수없는 긴 문장의 바이러스 이름이 눈에 보이게 됩니다. 보통 네이밍을 보면 대충 의미 파악을 할수는 있으나 자세한 내용을 알지 못합니다.

그런데 인터넷을 하다가 그 궁금증이 해결이 되었습니다. 바로 다음과 같이 네이밍을 한다고 합니다. 물론 정해져 있는 것은 아니겠지만 이러한 형태로 네이밍 하는 것은 분명 할 것입니다.


대부분 벤더들은 CARO(Computer Antivirus Research Organization)라는 스킴을 사용하는데 위 그림을 참고 하시면 되겠습니다.

1. type :  12type이 있는데 예를들면 TrojanDownloader 또는 Droppers 등의 용어가 쓰입니다. 현재 위 그림은 Worm
              이라고 나타내고 있습니다.

2. Platform: 말 그래도 플랫폼을 이야기 하는데 "Win32" API 에서 32bit 나 64 bit에서 적용되는 데스크탑용이나
                  서버 운영체제를  말 합니다. 윈도우 운영체제를 말하고 있네요

3. Family Name : 패밀리 네임은 유니크한 것으로 늘 맬웨어 저자와 상관이 없는 경우도 있으며 새로운 다양한
                         기술이 있으면 새로운 이름으로 네이밍 하기도 합니다.

4. Variant : 웜이나 바이러스 제작자가 변이를 만들어 내어 보통 A부터 Z까지 네이밍 하게 됩니다.
                 처음엔 AA~AZ, BA~BZ등등

5. Additonal infomation: 새로운특성이 나타날때 코멘트나 정보를 달아 줍니다. 
                                                                                                        -출처: MS security Intelligence Report


늘 웜이나 바이러스 체크 할때나 진단할때 나타난 네이밍을 보면 궁금한 점이 있었는데 이제는 어느정도 이해가 가는 군요. 물론 이것이 표준은 아니겠지만 해당 벤더나 업체 특성상 비슷한 스킴으로 네이밍을 하고 있을 것입니다. 그것은 우리가 같은 웜이나 바이러스를 진단하여도 진단명이 조금씩 틀리다는 것에서 알수 있습니다.  하지만 대부분 CARO 스킴을 사용하고 있다고 하니까 대동소이 하지 않을까 합니다.  혹시 궁금증이 조금 풀리셨나요?


Posted by 엔시스