マルウェアの検知名について

2023-01-10

マルウェア検知名の命名規則を探して
各ベンダーの検知名ルール
検知名はよくある単語の意味を知るくらいがちょうどいいかも
参考文献
更新履歴

マルウェア検知名の命名規則を探して

ちょっと気になったので、マルウェアの検知名について調べてみました

そこで出てきたのが CARO という名前です　
　

CARO とは – 計算機科学Word
https://csword.net/2018/06/19/caro_%E3%81%A8%E3%81%AF/
　
1991年のウイルス命名規則（その後の改訂版）で最もよく知られています

ふむふむ、CARO のサイトを見れば命名規則があるのね　
　
　
さっそく見てみ・・・　
　

HomePage - CARO - Computer Antivirus Research Organization
http://www.caro.org/naming/scheme.html
404 Not Found - CARO Naming Scheme

…( ﾟдﾟ) 　　404 Not Found 　
　
　
　
ちょっと私の調べ方が悪かったみたいです・・・！　

　
改めて調べると　
　
Wikipedia に有力な情報が書かれていました　
　

CARO - Wikipedia
https://en.wikipedia.org/wiki/CARO#cite_note-1
　
This has led to proposal of new naming systems from product vendors and industry groups.[1]
(製品ベンダーや業界団体から 新たなネーミングシステムの提案 が行われるようになりました。)

なるほどなるほど　
　
新しいのが提案されたのね　
　
さっきはきっと古い情報だったから、なくなっていたんですね　
　
　
びっくりしました　
　
　

さっそくリンク先を　　
　
　
　
　
　
　
　
　

"What we detect » Classification". Kaspersky Lab SECURELIST
https://securelist.com/threats/classification/

404 | Securelist

…...( ﾟдﾟ) 　
　
　
　
　

　
...…( ⊃д⊂)ｺﾞｼｺﾞｼ　
　
　

"What we detect » Classification". Kaspersky Lab SECURELIST
https://securelist.com/threats/classification/

404 | Securelist

...…(*ﾟдﾟ)ｴｯ？！　
　
　
　
　　
　　
　　
　

答えなんかどこにもなかった。*1 *2 　
　　
　

各ベンダーの検知名ルール

Kaspersky

命名規則：[Prefix:]Behaviour.Platform.Name[.Variant] （Prefix にはヒューリスティック検知を意味する HEUR などが入ります）
具体例：Trojan-Ransom.Win32.Snake.e
出典：Rules for naming | Kaspersky IT Encyclopedia
https://encyclopedia.kaspersky.com/knowledge/rules-for-naming/

検知名ルール：Kaspersky

Microsoft

命名規則：<Type>:<Platform>/<Family>.<Variant>!<Suffixes> （Suffixes はマルウェアに関する追加情報です）
具体例：Backdoor:Win32/Caphaw.D!lnk
出典：マルウェアの名前 - Windows security | Microsoft Docs
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/intelligence/malware-naming

検知名ルール：Microsoft

Trend Micro

命名規則：<脅威タイプ>.<プラットフォーム>.<マルウェアファミリ>.<亜種>.<補足情報> （補足情報は無い場合があります）
具体例：Ransom.Win32.Locky.A.dldr
出典：Q&A | Trend Micro Business Support
https://success.trendmicro.com/jp/solution/1306448

検知名ルール：Trend Micro