Jak viry a malware dostávají svá jména?

Jiří Sejtko 28 Lis 2016

Avast vysvětluje způsob pojmenovávání různých typů virů a škodlivých kódů.

Možná už jste slyšeli jména jako Cryptolocker nebo Heartbleed a říkali jste si, kdo tyto názvy vymýšlí? A proč? A možná, že vás zajímalo i to, jestli vlastní jméno dostávají všechny viry a škodlivý kód?

Ve skutečnosti je to tak, že málo významný, drobný škodlivý software speciální název nedostane. Je to podobně jako s hvězdami ve vesmíru (i když s tím rozdílem, že v případě virů a malware nemá veřejnost možnost zaplatit za jeho pojmenování), kterých je na světě tolik, že dávat každé jedné z nich unikátní jméno nemá smysl. Většina malware je pojmenována na základě jejich funkce jako například Banker (škodlivý program určený k bankovním podvodům) či Downloader (škodlivý program stahující jinou škodlivou komponentu) nebo dostanou naprosto generický název jako například Agent nebo Malware.

A pak je tady větší skupina příbuzných nebezpečných programů, u kterých pojmenování dává smysl z hlediska inteligentních hrozeb a z pohledu PR. Můžete si to představit třeba tak, jako kdybychom dávali jedné rodině virů stejné křestní jméno nebo příjmení. Výzkumníci jednoduše seskupují vzorky malware, které se dál vyvíjí a různě přetváří, aby ho mohli v budoucnu snadněji sledovat a zkoumat. Názvy jsou často založeny na těch informacích, které už o vzorku máme, jako je třeba modifikace C&C domény, jméno autora nebo hlavní funkce škodlivého programu.

Výzkumníci také často používají zvláštní označení pro příbuzné viry a zákeřný kód, když se domnívají, že se budou významně šířit na veřejnosti a budou o nich psát média.

V některých případech pojmenovávají malware dokonce sami jeho tvůrci – například Petya a Mischa, dvojitý vyděračský ransomware, který mohutně inzeruje jeho tvůrce Janus na tzv. darknetu, tedy na anonymním internetovém podsvětí.

Zajímavý je i příběh o tom, jak své jméno dostala zranitelnost Heartbleed pojmenovaná podle krvácejícího srdce. Heartbleed opravdu je velkým bezpečnostním rizikem, jehož prostřednictvím mohou útočníci například ukradnout certifikáty ze serveru. Funguje to tak, že útočník pošle serveru uměle vytvořený signál heartbeat (tlukoucího srdce), který znamená něco jako „Opakujte data, která posílám“. Tlukot srdce v tomto případě zapříčiní zranitelnost serveru. Server pak pošle zpět tajné informace, doslova je vykrvácí. A je to – krvácející srdce nebo-li Heartbleed, jméno, které se mně osobně zdá opravdu přesné. A líbilo se i novinářům, kteří o něm psali, protože velmi vhodně popisuje, jaká zranění způsobuje.

Často se stává, že různé antivirové týmy používají různá jména pro stejné rodiny virů a malware. Ve většině případů se ale snažíme držet stejných názvů, abychom nikoho nemátli.

Když už mluvím o naší oblasti internetové bezpečnosti a o svých kolezích v Avastu, musím dodat, že v naší komunitě vždy existují dvě základní skupiny či postoje. Jedna z nich chce pojmenovat každý jednotlivý vzorek viru, který se podaří zachytit, zatímco druhá skupina by nejraději měla jen jeden jasný název pro všechno, protože: „Je to malware!“. V Avastu jsme zhruba na půl cesty mezi těmito dvěma skupinami, a to se pravděpodobně nikdy nezmění.

Takže teď už víte, jak viry a malware dostávají svá jména. Pokud byste měli nějaké dotazy, neváhejte nám napsat do komentářů!

--> -->