Étude des menaces

Comment les logiciels malveillants et les vulnérabilités obtiennent leurs noms ?

Jiří Sejtko, 23 novembre 2016

Vous avez peut-être entendu des noms tels que Cryptolocker ou encore Heartbleed et vous vous êtes demandés : De qui ou quoi tire-t-il leurs noms ? Pourquoi ? Tous les virus et vulnérabilités sont-ils nommés ?

Pour la plupart d'entre eux, les morceaux de malware ne reçoivent pas de noms spéciaux. En ce sens, les logiciels malveillants sont similaires aux étoiles (à l'exception que nous n'offrons pas aux utilisateurs la possibilité de payer pour nommer des logiciels malveillants), il y a tellement d'étoiles que donner à chaque étoile un nom unique n'a pas toujours de sens. La majorité des échantillons de logiciels malveillants sont nommés en fonction de leurs fonctionnalités, comme Banker, Downloader, ou bien alors ils reçoivent un nom complètement générique tel que Agent ou Malware.


Ensuite, vous avez des familles de logiciels malveillants plus importantes, où la nomination a du sens du point de vue de la menace de l'intelligence, ainsi que de la perspective PR. Je pense que vous pouvez penser à cela comme donner des noms de famille aux familles de malware. Les chercheurs regroupent essentiellement des échantillons pour une future enquête et suivrent leur activité, car aujourd'hui les logiciels malveillants évoluent et se transforment rapidement.

Ces noms sont généralement basés sur les informations que nous connaissons sur l'échantillon, comme un domaine de commande et de contrôle (C & C) légèrement modifié, le nom de l'auteur ou encore une fonctionnalité.

Les chercheurs utilisent également des noms spéciaux pour les familles de logiciels malveillants et les vulnérabilités s'ils pensent qu'elle aura un grand impact sur le public et attirera l'attention des médias.

Dans certains cas, les créateurs de programmes malveillants nomment eux-mêmes leur logiciel. Petya et Mischa, double ransomware, est largement commercialisé sur le darknet par ses créateurs, Janus. Ce dernier a même créé des logos pour Petya et Mischa.

La façon dont la vulnérabilité Heartbleed a obtenu son nom est très intéressante. Heartbleed est une très grande vulnérabilité de sécurité qui permet aux attaquants de lire la mémoire du serveur, fuyant, par exemple, les certificats. Les attaquants envoient un signal de battement de coeur au serveur - ce signal est quelque chose comme "Echo les données que je vous envoie".

Le signal de battement de coeur, dans ce cas, a causé l'exploitation de cette vulnérabilité. Le serveur a été saigné à l'attaquant et a renvoyé des informations secrètes. Et voila, vous avez Heartbleed, qui je pense a été un prénom vraiment cool ! Les médias l'ont aimé, parce qu'il décrit ce que la vulnérabilité fait réellement.

Très souvent, différentes entités d'antivirus utilisent des noms différents pour les mêmes familles. Pour la plupart, nous essayons tous nous en tenir au même nom pour éviter la confusion.

Pour parler de l'industrie ou même de mes collègues ici chez Avast, il y a toujours deux côtés ou groupes. Un côté veut nommer chaque échantillon qu'ils découvrent en donnant à chacun un nom spécial, tandis que l'autre veut avoir un seul nom de détection, affirmant qu'il s'agit de «malware !».

Voilà, vous savez maintenant comment le malware est nommé !

 

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières nouvelles, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.