setodaNote

忘れる用のメモ書き for Cybersecurity

マルウェアの検知名について

マルウェア検知名の命名規則を探して

ちょっと気になったので、マルウェアの検知名について調べてみました

そこで出てきたのが CARO という名前です  
 

CARO とは – 計算機科学Word
https://csword.net/2018/06/19/caro_%E3%81%A8%E3%81%AF/
 
1991年のウイルス命名規則(その後の改訂版)で最もよく知られています

ふむふむ、CARO のサイトを見れば命名規則があるのね  
 
 
さっそく見てみ・・・  
 

HomePage - CARO - Computer Antivirus Research Organization
http://www.caro.org/naming/scheme.html

f:id:soji256:20200610235857p:plain
404 Not Found - CARO Naming Scheme

 
 
 

…( ゚д゚)   404 Not Found  
 
 
 
ちょっと私の調べ方が悪かったみたいです・・・!  

 
改めて調べると  
 
Wikipedia に有力な情報が書かれていました  
 

CARO - Wikipedia
https://en.wikipedia.org/wiki/CARO#cite_note-1
 
This has led to proposal of new naming systems from product vendors and industry groups.[1]
(製品ベンダーや業界団体から 新たなネーミングシステムの提案 が行われるようになりました。)

なるほどなるほど  
 
新しいのが提案されたのね  
 
さっきはきっと古い情報だったから、なくなっていたんですね 
 
 
びっくりしました  
 
 

さっそくリンク先を    
 
 
 
 
 
 
 
 

 

"What we detect » Classification". Kaspersky Lab SECURELIST
https://securelist.com/threats/classification/

f:id:soji256:20200611001025p:plain
404 | Securelist

 
 
 
 

 

…...( ゚д゚)  
 
 
 
 

 
...…( ⊃д⊂)ゴシゴシ  
 
 

"What we detect » Classification". Kaspersky Lab SECURELIST
https://securelist.com/threats/classification/

f:id:soji256:20200611001025p:plain
404 | Securelist

 
 

...…(*゚д゚)エッ?!  
 
 
 
   
   
   
 

答えなんかどこにもなかった。*1  
   
 

 

各ベンダーの検知名ルール

Kaspersky

  • 命名規則:[Prefix:]Behaviour.Platform.Name[.Variant] (Prefix にはヒューリスティック検知を意味する HEUR などが入ります)
  • 具体例:Trojan-Ransom.Win32.Snake.e
  • 出典:Rules for naming | Kaspersky IT Encyclopedia
    https://encyclopedia.kaspersky.com/knowledge/rules-for-naming/
    f:id:soji256:20200611005633p:plain
    検知名ルール:Kaspersky

Microsoft

Trend Micro

  • 命名規則:<脅威タイプ>.<プラットフォーム>.<マルウェアファミリ>.<亜種>.<補足情報> (補足情報は無い場合があります)
  • 具体例:Ransom.Win32.Locky.A.dldr
  • 出典:Q&A | Trend Micro Business Support
    https://success.trendmicro.com/jp/solution/1306448
    f:id:soji256:20200611002959p:plain
    検知名ルール:Trend Micro

検知名はよくある単語の意味を知るくらいがちょうどいいかも

マルウェア検知名の命名規則を明記した各社の公式文書を見つけるのは難しく、なかなか見つけることができませんでした。 また、公式文書があったとしても、実際の検知名が記載のルールと一致しない場合もありました。

いくつか見つけることのできた公式文書を見る限りでは、CARO のマルウェア命名規則に基づき検知名を定めたものが多いようです。 肝心の CARO の命名規則については公式サイトのリンクが切れているようで、Web アーカイブサイトでしか見ることができませんでした。 (そして少し難解。。。)

マルウェアの検知名については厳密な規則は横に置いておいて、よくある文字列を読み取れるくらいでちょうどいいのかもしれません。

Ransom ってあるからランサムウェアかな、gen ってあるからジェネリック検出された亜種かな、じゃあ残ったこれがマルウェア名かな、など。

参考文献

更新履歴

  • 2020/06/11 新規作成
  • 2020/06/11 一部表記を修正。

*1:Web アーカイブサイトには残っていました。