Bautizar un virus

SeguridadVirus

I-Worm.Tanatos, W32/Bugbear-A o NATOSTA.A , son algunos de los distintos nombres con los que se puede identificar al mismo virus en función de que antivirus se utilice.

No se trata de un caso aislado, sino de una constante que en ocasiones crea ms de una confusin, y ya no hablamos de las decenas de versiones y variantes que nos podemos encontrar como terminacin de cada nombre.

Aunque en principio parezca que el nombre que se le de a un virus determinado carece de importancia, la realidad es que las distintas nomenclaturas utilizadas por las casas antivirus pueden llegar en situaciones a confundir a los usuarios, por no contar los quebraderos de cabeza que supone enfrentarse a la tarea de tratar reportes de diferentes motores antivirus para sacar una estadstica homognea.

Si bien ya vemos que cada cual bautiza segn le viene, la realidad es que la mayora de las casas antivirus suelen seguir las reglas de nomenclatura acordadas por CARO (Computer Antivirus Research Organization) que disearon Alan Solomon, Fridirik Skularson y Vesselin Bontchev en 1991, actualizadas posteriormente por Gerald Scheidl en 1999. En conferencias posteriores se ha continuado discutiendo sobre las reglas, simplificacin, adecuacin a los nuevos especmenes, y homogeneizacin de los nombres de los virus.

La situacin actual, con diferencias entre las diferentes casas antivirus, suele seguir el patrn Prefijo.Nombre.Variante.

El prefijo nos dar informacin sobre la plataforma y el tipo, as sabremos si se trata de un virus, un gusano o un troyano, a que sistemas afecta, o en que lenguaje est escrito. Algunos ejemplos de prefijos utilizados hoy da son

WM Virus de macro para Word

XM Virus de macro para Excel

W32 Virus Win32

I-Worm Gusano de Internet

Troj Caballo de Troya

VBS escrito en Visual Basic Script

Mencin aparte merecen algunos prefijos que nos indican especmenes que engordan las cifras de los antivirus pero que realmente no son virus funcionales, como

Joke Broma (no tiene ningn efecto daino ni se propaga)

Intented Virus que no funciona

Aun as, es preferible los antivirus que utilizan estos prefijos, para aclarar que no se trata de programas dainos, en lugar de aquellos otros que no realizan ninguna diferenciacin y pueden crear ms confusin entre los usuarios.

A continuacin nos encontraremos con el nombre especfico del virus, que es sin duda la parte que ms confusin crea ya que es la ms creativa. Normalmente guarda relacin con algn nombre o comentario que el propio autor del virus ha dejado en el interior del cdigo, o bien con el tema utilizado por el virus como reclamo para presentarse ante los usuarios, el nombre del archivo con el que se propaga, etc.

La variante depender en gran medida del motor antivirus, por lo que las diferencias pueden ser aun mayores entre las distintas casas. As, mientras un motor puede necesitar 8 firmas diferentes con sus respectivas versiones, otro motor puede llevar a cabo una deteccin ms genrica de todas las variantes con una sola firma y bajo un nico nombre.

Por ltimo, algunas casas utilizan un sufijo que guarda relacin con el mtodo y velocidad de propagacin, as

@M Se propaga a travs del correo electrnico

@MM Se propaga por e-mail de forma masiva

Tomando nicamente como referencia el nombre del espcimen ms incisivo de toda la historia hasta la fecha, W32/Klez.h@MM, podemos deducir que

W32 Win32, podr afectar a Windows 9x/Me/NT/2000/XP

Klez Nombre del virus. En el interior de su cdigo encontramos el comentario Win32 Klez V2.01 Win32 Foroux V1.0 Copyright 2002,made in Asia h. Al menos existen 7 versiones anteriores

@MM Se distribuye de forma masiva por e-mail

Leer la biografía del autor  Ocultar la biografía del autor