Opprydningen rundt det siste store virusutbruddet, kan ha blitt bremset av et navnekaos. Det blir nødvendigvis vanskeligere å spre verktøy som skal finne og fjerne viruset når man ikke har blitt enig om et felles navn. Dette har tidligere vært et problem i bransjen og slo ut i full blomst i forrige uke.
Les også:
- [17.01.2007] Orm angriper ufikset sikkerhetsvare
- [06.02.2006] Få skadet av Kama Sutra-ormen
- [02.02.2006] Kama Sutra-ormen slår til på fredag
- [26.01.2006] Rens PC-en før filsletteren slår til
- [24.01.2006] Kama Sutra-orm sletter dokumentfiler
Ormen som ble kalt Kama Sutra, var døpt av Microsoft og McAfee til "Mywife" mens Symantec kalte viruset "Blackmal". I tillegg har F-Secure kalte ormen for "Nyxem E," mens Sophos kalte ormen for "Nyxem D"." Også andre navn som "Kapser," "KillAV," "Grew.A" og "Blackworm" har vært i bruk.
Det amerikanske Homeland Security-departementet har forsøkt å skape en løsning på slike forvirringer med en standard for navn. Deres tjeneste kaller Kama Sutra-ormen for CME 24. CME står for Common Malware Enumeration.
Snorre Fagerland, virusanalytiker hos norske Norman bekrefter at navneforvirringen er et problem, men han forteller at flommen av trusler rett og slett gjør det umulig å rydde opp. Det er bare de aller største truslene som får et CME-navn.
Og tallene Fagerland viser til, burde heve på øyenbrynene til de fleste.
– Vi mottar 1200 til 1300 meldinger om nye typer sikkerhetstrusler hver dag, forteller Fagerland.
digi.no trodde først vi hørte feil og bad Fagerland om å gjenta, men han presiserer at tallet er så høyt.
– Vi mottar 1200 til 1300 nye spionvare-programmer, ormer, trojanere og virus hver dag. De blir produsert på industrielt skala. Hackerne lager basisversjoner av program og automatisere produksjonen av varianter. Dette skal gjøre det vanskeligere for sikkerhetsleverandører som oss å lete etter nøyaktige filmønstre, forteller Fagerland.
En annen bidragsyter til de oppsiktvekkende tallene er at kildekoden til en del malware deles ut på nettet.
Et eksempel er spionvare-programmet Spybot som nå i over 20 000 versjoner, forteller Fagerland.
Men ikke alt er dårlige nyheter. Normans sjefsanalytiker påpeker at de høye tallene også skyldes at Norman og de andre virusvernerne har blitt mye flinkere til å fange opp flere og nye trusler.
Å si at økningen har vært dramatisk de siste årene er å ta forsiktig i. For to år siden fikk Norman kanskje bare innspill om 100 nye trusler hver dag.
– Vi mottar fra innspill både fra direkte kunder, fra nettjenester som der folk kan sende inn filer for analyser og varsler fra andre antivirusaktører. Vi får dessuten ting fra «honeypot»-systemer, servere som er satt opp til å lokke til seg hackere, forteller Fagerland. Dette gjør at vi fanger opp mer enn før og vi gjør det tidligere.
Han forteller at mønstrene på hva som dukker opp skifter litt over tid, men i den senere tid har det dukket opp mye avanserte spionsystemer som fanger opp sensitive data og sender til sine oppdragsgivere. Målet er å tjene penger, ikke å ødelegge.
Fagerland påpeker at trusselvolumet har gjort at sikkerhetsbransjen har måttet legge om sitt forsvar helt til systemer som ikke leter etter helt spesifikke trusler. Systemene må nå kunne fange opp trusler med variasjoner over et mønster.
Norman var selv tidlig ute med sin såkalte Sandbox-system.
Navnet skyldes at Norman lurer trusselen til å tro at den er kommet inn i Windows, men den opererer bare i en sandkasse. Når et mistenkelig program starter opp inne i "sandkassen", følger Normans system med. Dersom programmet begynner å oppføre seg ondsinnet, blir det stoppet.
