Skal rydde opp i virusnavnkaoset

I mange år har det rådet forvirring når de ulike antivirusselskapene benytter hvert sitt navn på de samme truslene.

W32.Mydoom.AJ@mm, Win32.Bofra.G, I-Worm.Bofra.b, W32/Mydoom.ah@MM, W32.Bofra.B@mm - dette er alle navn på den samme e-postormen som ble oppdaget i november i år. Er det rart man blir forvirret?

Ifølge Computer Business Review Online har US-CERT, som er en del av USAs Department of Homeland Security (DHS), skal koordinere et initativ for felles betegnelse på ondsinnet kode innen antivirusbransjen. Dette kommer fram av et brev sendt til SANS Institute, som er signert av representanter fra Symantec, Microsoft, McAfee, Trend Micro og DHS.

Ifølge brevet håper bransjen å kunne møte utfordringene som omgir 'Virus Name Game', gjennom et pilotprogram som kan starte opp så tidlig som i januar 2005.

US-CERT skal ha rollen som en nøytral tredjepart som koordinerer en database med identifikatorer for ondsinnet kode. Den skal ligne mye på Common Vulnerabilities and Exposures-listen (CVE) som i dag administreres av The Mitre Corp, sponset av US-CERT.

- Ved å bygge suksessen til CVE med senere erfaringer, håper US-CERT og bransjedeltakerne å kunne ta tak i mange av de utfordringene miljøene som kjemper mot ondsinnet programvare, møter, heter det videre i brevet.

Identifikatorene vil se ut omtrent som dette: "CME-1234567", det betyr ikke at nye trusler ikke vil få mer brukervennlig navn i tillegg. CME står for Common Malware Enumeration.

I første omgang vil CME være begrenset til de "store" truslene. Det skal være betydelige hindringer i veien for at en slik fortegnelse av ondsinnet programvare skal være effektiv. Dette inkluderer det store antallet trusler av denne typen og det faktum at det å løse navnekonfliktene kan være vanskelig og tidkrevende.

Navneforvirring, som den nevnt først i artikkelen, vil fortsatt kunne foregå etter at CME innføres, men CME vil i det minste gjøre det mulig å finne ut om en trussel som omtales av med ulike navn av antivirusselskapene, likevel bare er én eneste trussel og ikke flere ulike.

Navnene på virus og ormer gis vanligvis av selskapet som først finner det. Men ofte spres disse ondsinnede programmene så raskt at flere selskaper vil kunne oppdage dem omtrent samtidig. Da kan det lett skje at trusselen får flere ulike navn, avhengig av hvilke erfaringer selskapene har fra før, samt hvilke detaljer ved koden selskapene legger mest vekt på. Ofte er det filnavn, innholdet i e-posten eller vanlig tekst som finnes i koden, som er utslagsgivende for navnet koden tildeles.

Til toppen