Comment les malwares obtiennent leur nom

Margaux Carèje 11 févr. 2022

Vous vous êtes peut-être demandé d'où venait Cryptolocker ou Heartbleed, et pourquoi. Et est-ce que chaque virus ou vulnérabilité a un nom ?

La plupart des logiciels malveillants ne reçoivent pas de nom particulier. En ce sens, les logiciels malveillants sont similaires aux étoiles (à l'exception du fait que nous n'offrons pas aux utilisateurs la possibilité de payer pour nommer les logiciels malveillants) : ils sont si nombreux qu'il serait presque impossible de leur donner un nom unique. La majorité des échantillons de logiciels malveillants sont nommés en fonction de leur fonctionnalité, comme Banquier ou Téléchargeur, ou reçoivent un nom complètement générique, comme Agent ou Malware.

Ensuite, il y a les grandes familles de logiciels malveillants, dont le nom a un sens à la fois du point de vue du renseignement sur les menaces et des relations publiques. Je suppose que l'on peut considérer que l'on donne un nom de famille aux familles de logiciels malveillants. Les chercheurs regroupent essentiellement des échantillons en vue d'enquêtes futures et suivent leur activité, car les logiciels malveillants évoluent rapidement de nos jours. Ces noms sont généralement basés sur les informations que nous connaissons sur l'échantillon, comme un domaine de commande et de contrôle (C&C) légèrement modifié, le nom de l'auteur ou la fonctionnalité de l'échantillon.

Les chercheurs utilisent également des noms spéciaux pour les familles de logiciels malveillants et les vulnérabilités s'ils pensent qu'ils auront un impact important sur le public et attireront l'attention des médias.

Dans certains cas, les créateurs de logiciels malveillants donnent eux-mêmes un nom à leurs logiciels. Petya et Mischa, un double ransomware, sont fortement commercialisés sur le darknet par leurs créateurs, Janus. Janus a même créé des logos pour Petya et Mischa.

Heartbleed est particulièrement intéressant, car il s'agit en fait d'une très grosse faille de sécurité qui permet aux attaquants de lire la mémoire du serveur et de divulguer, par exemple, des certificats. Les attaquants envoient un signal de battement de cœur modifié au serveur. Ce signal est quelque chose comme "Fais écho aux données que je t'envoie". Le signal heartbeat, dans ce cas, a provoqué l'exploitation de cette vulnérabilité. Le serveur a renvoyé des informations secrètes, les faisant passer à l'attaquant. Et voilà, vous avez Heartbleed, qui personnellement je pense était un nom vraiment cool ! Les médias l'ont adoré, car il décrit ce que fait réellement la vulnérabilité.

Très souvent, les différentes entités antivirus utilisent des noms différents pour les mêmes familles. Dans la plupart des cas, cependant, nous essayons tous de nous en tenir au même nom pour éviter toute confusion. Bien sûr, personne n'est d'accord sur tout. Dans le cas présent, il y a deux camps : l'un veut nommer chaque échantillon découvert, en lui donnant un nom particulier ; l'autre veut n'avoir qu'un seul nom de détection, en affirmant "C'est un malware !". Aujourd'hui, nous sommes quelque part au milieu et cela ne changera probablement jamais.


Téléchargez Avast One Gratuitement


Avast est un leader mondial de la cybersécurité, qui protège des centaines de millions d'utilisateurs dans le monde. Découvrez les produits qui protègent votre vie numérique sur notre site web et obtenez toutes les dernières nouvelles sur la façon de vaincre les cybermenaces sur notre blog, sur Facebook ou sur Twitter.

* Original en anglais.

 

--> -->