Cara penamaan Malware


Dalam satu sesi diskusi saya sempat mendapat pertanyaan tentang bagaimana cara penamaan malware? Apakah ada sebuah aturan baku, atau ada sebuah konvensi yang dapat dijadikan rujukan penamaan malware. Nah topik tentang penamaan malware memang menarik. Karena pada kenyataannya sebuah malware yang sama bisa mendapat nama yang berbeda dari perusahaan antivirus yang berbeda. Misalnya anda mempunyai sebuah sampel malware. Ketika anda scan dengan antivirus A malware tersebut akan terdeteksi misalnya dengan nama malware a1, tapi ketika anda melakukan deteksi dengan antivirus b maka hasil deteksinya mempunyai nama yang berbeda. Atau coba masukkan sebuah sampel malware di virustotal.com  Virustotal akan menampilkan sejumlah nama yang berbeda dari sejumlah anti virus

Seringkali peneliti yang melakukan analisa terhadap sebuah malware baru memberi nama berdasarkan string yang dia temukan pada bagian malware itu. Contohnya ada dulu virus yang menampilkan pesan berikut pada layar “Your PC is now stoned!“. Kemudian peneliti menamakannya stoned virus. Sampai saat ini memang belum ada sebuah lembaga yang secara khusus memberikan penamaan terhadap malware. Memang ada beberapa usaha untuk membuat rekomendasi atau konvensi untuk penamaan. Diantaranya CARO dan CME.

CARO

CARO merupakan kepanjangan dari Computer Antivirus Research Organization. Merupakan kumpulan dari para peneliti malware. Caro membuat sebuah skema penamaan malware yang dinamakan Caro naming scheme. Menurut skema CARO penamaan malware pertama harus dikelompokkan berdasarkan keluarga malware. Keluarga malware ini biasanya ditentukan dari kemiripan kode malware tersebut. Prinsip berikutnya adalah namanya harus unik atau berbeda. Jadi tidak boleh ada nama malware yang sama. Contoh format nama yang mengikuti skema CARO adalah sebagai berikut: “[<type>://][<platform>/]<family>[.<group>][.<length>].<variant>[<modifiers>][!<comment>]”,

CME

Sebuah usaha lainnya untuk membuat standar nama nalware adalah CME (Common Malware Enumeration). Usaha ini diinisiasi oleh MITRE. CME kemudian berkembang menjadi MAEC (Malware Attribute Enumeration and Classification). Kelompok ini juga berusaha membuat sebuah standar dalam penamaan malware. Hanya saja sampai saat ini masih saja terdapat perbedaan penamaan malware . Masing-masing perusahaan anti-virus tetap memiliki skema penamaannya sendiri-sendiri. Karena setiap hari selalu ada puluhan bahkan ratusan sampel baru yang harus dianalisa. Sehingga akan sangat menghabiskan waktu bila setiap ada sampel malware baru, semua perusahaan antivirus harus kumpul dan bersama-sama menentukan namanya. Yah akhirnya mungkin kita harus setuju dengan pernyataan ShakespeareApalah artinya sebuah nama, Bunga mawar tetap harum walaupun dia tidak dinamakan mawar “. Yah mungkin yang lebih penting bukanlah memberi nama malware, tapi bagaimana mengatasi malware. Semoga bermanfaat!Beberapa bahan bacaan :

http://www.caro.org/naming/scheme.html

http://maec.mitre.org/

http://zeltser.com/malware-naming-approaches/

http://www.microsoft.com/security/portal/mmpc/shared/malwarenaming.aspx

http://www.symantec.com/security_response/virusnaming.jsp

http://www.mcafee.com/us/threat-center/resources/threat-glossary.aspx

http://www.kaspersky.com/internet-security-center/threats/malware-classifications

cara penamaan malware
contoh cara penamaan malware oleh microsoft

2 tanggapan untuk “Cara penamaan Malware”

    • sorry baru bales, ternyata kemaren commentnya masuk spam :(
      ada banyak cara perusahaan Antivirus (AV) mendapat sampel virus terbaru.
      Yg pertama mereka biasanya menyediakan fungsi submit sampel di webnya.
      Yg kedua bisa melalui web yang menyediakan jasa scanning malware seperti virustotal.com. Di web seperti ini orang bisa uplot file dan mendapatkan hasil scan dari berbagai AV. Nah sampel file yang di scan ini kemudian di share ke berbagai perusahaan AV untuk dianalisa
      Yg ketiga, mereka biasanya punya tim riset (lab malware sendiri). Tim ini biasanya selalu mencari sampel malware terbaru dan melakukan analisa. Mereka biasanya tergabung dengan berbagai komunitas anti malware yang ada. Komunitas ini biasanya saling sharing sampel malware terbaru, ada yang dishare di web, ada yang dishare di milis dll. Beberapa contoh tempat share sampel malware ini bisa dilihat di tulisan saya berikut ini http://julismail.staff.telkomuniversity.ac.id/sampel-malware/
      Yg keempat, biasanya kalo kita scanning komputer kita pake antivirus tertentu, kalo AV mendeteksi ada sebuah file mencurigakan, dia akan mengirimkan file tersebut secara otomatis ke server antivirus untuk dianalisa.
      thx

Silahkan tuliskan tanggapan, kritik maupun saran