바이러스의 이름을 짓는 규약, CARO

    바이러스 명명 규칙

    대부분 컴퓨터에는 안티 바이러스(Anti Virus) 프로그램이 깔려 있을 것이다. 정확히 말해서는 안티 멀웨어(Malware) 프로그램(V3나 알약 등)이 깔려 있을텐데 오랜기간 동안 백신 프로그램을 돌리지 않았다면, 악성 프로그램들이 검출 될 것이다.


    악성 프로그램이라 하더라도 모두가 바이러스가 아니기 때문에, 웹브라우저에서 기생하여 광고 팝업이나 하는 간단한 애드웨어와 같은 프로그램도 검출이 되니 컴퓨터의 포맷 시기와 멀웨어의 개수는 꽤 높은 상관관계를 보여줄 것이다.


    source, https://blog.avast.com/how-malware-and-vulnerabilities-get-their-names


    아무튼 이런 Anti Malware 프로그램을 실행하면 다양한 멀웨어명이 등장하는데 도대체 이 이름은 누가 어떤 규칙으로 짓는 것일까? 


    바로 CARO(Computer Anti-virus Researcher Organization)라는(우리나라 말로 직역하면 '컴퓨터 안티바이러스 연구원 조직'정도로 해석이 되는) 컴퓨터 바이러스 관련된 세계적인 조직체에서 바로 이 컴퓨터 멀웨어 명명을 정하게 된다.


    CARO는 다음과 같은 규칙으로 멀웨어 이름을 규정한다.



    위협 유형(Threat Type)

    위협의 주요 동작이 무엇인지 설명하는 주요 위협 범주를 나타낸다. 


    멀웨어

    - 트로이 목마(Trojan), 웜(Worm), 바이러스(Virus), 랜섬웨어(Ransomware), 마이너(Coinminer, 암호화폐) 및 백도어(Backdoor)가 가장 일반적인 위협 유형이다

    그레이웨어

    - 애드웨어(Adware), 스파이웨어(Spyware) 및 PUA가 가장 일반적인 위협 유형이다.


    위 예제를 보다시피, Threat Type에는 멀웨어, 그레이웨어라는 말이 들어가는 것이 아니라, 트로이 목마, 마이너, 백도어 등과 같은 말이 들어간다.



    플랫폼(Platform)

    위협이 실행되도록 설계된 환경을 말하며 소프트웨어(Software)와 하드웨어(Hardware)를 모두 포함한다. 

    - Windows (Win32, Win64), Mac OS, Linux, Android와 같은 운영체제 뿐만 아니라 프로그래밍 언어 (스크립트 언어) 및 파일 형식 (Microsoft Word / Excel / PowerPoint) 등도 포함이 된다.



    그룹화(Family)

    비슷한 행동(ex: 변형 프로그램)을 하는 멀웨어들을 묶어서 Family 이름을 짓는다. 



    변종(Variant)

    같은 그룹화된 바이러스 중, 서로 다른 유형의 멀웨어를 식별하기 위해 만들어진 값, 문자는 순차적으로 사용된다.


    그외 정보(Other Information)

    복잡한 위협에 대한 추가적인 인사이트를 제공한다. 예를 들어, dldr은 다운로더를 의미한다. 



    Ransom.Win32.Locky.A.dldr의 의미 해석

    마지막으로, 예제의 파일명을 해석해보면 Locky라는 이름의 랜섬웨어(Ransomware)로 해당 멀웨어는 다운로더(Downloader) 프로그램이다.



    참고자료


    댓글

    Designed by JB FACTORY