Día a día las diferentes soluciones de seguridad de ESET detectan miles de malware, los cuales no siempre son previamente conocidos. Dada la cantidad de muestras maliciosas encontradas, es importante poder catalogar cada una de ellas con el fin de darle un seguimiento a su propagación, recopilar información sobre su comportamiento, y para informar a los usuarios con mayor precisión acerca de qué tipo de amenaza fue detectada en su sistema. Esta tarea no es sencilla y un paso fundamental de la misma es elegir correctamente qué nombre se le dará al malware.
Dado que el objetivo es poder catalogar e identificar fácilmente al malware, es necesario que los nombres sean asignados sobre la base de algo que las muestras tengan en común. Aquí surgen múltiples posibilidades. Una de ellas es, por ejemplo, hacerlo de acuerdo a la ubicación en la que se encontró la muestra, a su tamaño, a palabras encontradas dentro del código, etc. La decisión de qué metodología utilizar para el nombramiento de un nuevo malware es algo que define individualmente cada empresa de antivirus, por lo que no hay un consenso general sobre qué criterio utilizar. En este contexto, ESET adoptó una nomenclatura basada en disposiciones de la Computer Antivirus Researchers Organization (CARO), que en 1991 propuso un esquema que fue ampliamente adoptado y que tenía como objetivo sentar las bases para unificar la forma en que se nombra el malware por los diferentes fabricantes que desarrollan soluciones de seguridad.
Dado que en el laboratorio de ESET recibimos muchas consultas a través de interesados en entender cuál es la variante del código malicioso, a qué familia pertenece y las tecnologías que afecta, además de otra información que, conociendo cuál es la estructura de la detección se podría llegar a inferir, decidimos escribir este post acerca de cómo se define el nombre de un nuevo malware para hacer una breve explicación.
Esquema de nombramiento de malware propuesto por la organización CARO
El uso de la nomenclatura sugerida por CARO permite tener al malware catalogado por familia, variante, plataforma, tipo y otras características del mismo; lo cual es una gran ventaja, ya que posibilita que tanto investigadores como usuarios finales puedan obtener información sobre la muestra detectada simplemente leyendo su nombre, lo cual sería imposible si se usaran nombres propios sin ningún formato.
Cada malware catalogado a partir de este esquema tendrá el siguiente formato:
<tipo>://<plataforma>/<familia>.<grupo>.<longitud>.<variante><modificadores>!<comentarios>
Al ser muchos campos, por cuestiones de facilidad de uso y lectura los únicos obligatorios son los campos familia y variante. Esto responde al hecho de que cada familia de malware está compuesta únicamente por códigos maliciosos de características similares. Con lo cual, una vez identificada una familia, utilizando el campo variante es posible reconocer de forma única, fácil y precisa un malware específico. Por lo tanto, puede advertirse que agrupar al malware en familias es uno de los principios fundamentales de este esquema.
Nomenclatura en productos de ESET
Como se mencionó previamente, los productos de ESET utilizan una nomenclatura basada en CARO y la misma podrá observarse cuando se detecta un código malicioso. Con el fin de que los nombres de las muestras sean fácilmente legibles y recordables se utilizan únicamente tres campos que, a su vez, brindan mucha información sobre la detección:
Estructura de los campos que definen el nombre de un malware
Platform/Family.Variant
Plataforma: es la plataforma en la cual opera el malware. Algunos ejemplos son: Win32 o Win64 para sistemas operativos Windows de 32 o 64 bits respectivamente, JS para scripts de javascript, PHP para scripts PHP, etc.
Familia: es la familia a la cual pertenece el malware detectado.
Variante: si bien todos los malware pertenecientes a una familia son similares, podría haber algunos que tengan cualidades únicas que los diferencias de los demás. En estos casos se los identifica dentro de la misma familia, pero con otra variante (conformada por una serie de letras).
Algunos ejemplos concretos de detecciones correspondientes a familias que es común ver en campañas maliciosas propagándose en países de LATAM:
Por lo tanto, utilizar un esquema correcto para catalogar e identificar al malware es un punto importante para cualquier empresa o laboratorio que trabaje con este tipo de amenazas, ya que facilita la organización de las muestras, la comunicación e intercambio de información y, especialmente, permite que usuarios finales e investigadores puedan tener rápidamente una noción de qué tipo de amenaza están enfrentando.
