![[externer Link]](../../../../images/link.gif)
www.percomp.de).Die Zahl der Computer-Viren, Würmer, Trojanischen Pferde, Backdoors und verwandter Sabotage-Software – kurz: Malware – wird in Bälde 60 000 übersteigen. Vor vielen Jahren war die Zahl verwirrender Alias-Namen schon einmal beachtlich: so etwa 1987 mit Cascade alias Herbstlaub alias Falling_Letters alias Black_Jack. Damals verursachten zeitverzögerte Analysen und wenig Informationsaustausch zwischen den verschiedenen Anti-Virus-Labors diese Divergenzen. Dieses Problem ist heute weitgehend entschärft. Seit einigen Jahren sind wichtige Ergebnisse wesentlich schneller verfügbar. Nicht zuletzt hat sich auch die Kommunikation zwischen den Herstellern von Anti-Virus-Programmen, vor allem der Austausch neuer Malware zu Analysezwecken, entscheidend verbessert.
Ein Bestreben von Anti-Virus-Organsisationen war, dass bereits der Name einer Malware im Prüfbericht eine grobe Aussage über die Art der Infektion liefern sollte. Zu diesem Zweck wurde eine ständig wachsende Zahl von Pre- und Postfixes für Malware-Namen definiert, beispielsweise: WM/... (Word Macro), X97M/... (Excel'97 Macro), Win32/..., Trojan/..., VBS/... oder als Postfix ...@mm (mass mailer), .corrupt (durch Infektion funktionsunfähig gewordene Dateien) oder .kit (mit Virenbaukasten erzeugt).
Die Praxis dieser erstrebenswerten Absicht ist für die meisten PC-Anwender allerdings recht verwirrend, da die Schreibweise von Hersteller zu Hersteller recht unterschiedlich ist. Außerdem unterscheiden sich die Positionen (Pre- oder Postfix) und die Trennzeichen. Dies erschwert vielen PC-Anwendern die Suche nach Malware-Beschreibungen auf den Websites der Hersteller.
Aufgrund einer ständig wachsenden Zahl von Malware, die zum Beispiel mehrere Typen enthält (etwa Viren und Würmer) oder die unter mehreren Plattformen funktionsfähig ist (wie NT und UNIX), missbrauchen viele Hersteller zudem Alias-Namen, um diese verschiedenen Aspekte zum Ausdruck zu bringen: so etwa mit IIS/Sadmind, Worm/Sadmind, UNIX/Sadmind, Solaris/Sadmind, ... Und nicht zuletzt sind manche Prefixes wie O97M/ nicht eindeutig, da sie keine Aussage enthalten, ob zwei oder drei Office-Produkte als Plattform verwendet werden.
Mit Sicherheit werden noch weitere Pre- und Postfixes (etwa für PDAs) und neue Mixturen unterschiedlicher Malware-Eigenschaften hinzukommen. Eine einheitliche Namensgebung für Malware über die Herstellergrenzen hinweg ist schon heute angesichts der Anzahl bekannter Malware und dem rapiden Auftreten neuer Schädlinge nicht mehr durchsetzbar.
Während der Virus Bulletin Conference 2001 in Prag wurde dieses Problem in einer kleinen Gruppe diskutiert. Basis der Diskussion war eine Ausarbeitung "Identification of Malware from the User's Point of View". Darin schlugen die Autoren vor, in den Scanner-Berichten jeweils nur den Namen und die Variante der gefundenen Malware anzugeben. Der Benutzer könnte dann anschließend mithilfe eines Dienstprogramms detaillierte Informationen erhalten, mindestens:
Diese Verweise auf externe – und zentral zu speichernde – Informationen würden dann die bisherigen Pre- und Postfixes ersetzen. Ein einfaches Beispiel könnte so aussehen:
Der Vorteil dieses Verfahrens wäre, dass Informationen nach dem erstmaligen Auftreten einer neuen Malware schnell zentral bereitgestellt und zusammengeführt werden könnten. Für die Hersteller ist nur eine relativ geringfügige Erweiterung der Scanner erforderlich: ein Dienstprogramm, das den in ihrem Produkt verwendeten Namen in einen Standard-Namen konvertiert, unter dem die Informationen abrufbar sind.
Selbstverständlich ist in die Strukturierung der genannten Informationen noch viel Arbeit zu investieren. Die Anzahl der Eigenschaften und ihre Definitionen müssen sorgfältig festgelegt werden. Diese Aufgabe soll eine Arbeitsgruppe leisten, in der Endanwender ebenso wie Mitarbeiter von Herstellern aktiv sind. Ziel ist es, die Benennung von Malware benutzerfreundlicher und vor allem weitgehend einheitlich zu gestalten.
Das in Prag diskutierte Arbeitspapier enthält viele Beispiele. Interessierte Leser können es per E-Mail von gm@percomp.de anfordern. Die jetzt konstituierte Arbeitsgruppe möchte zudem weitere aktive Teilnehmer für die Ausarbeitung dieses Vorschlags gewinnen; Interessierte sind zur Kontaktaufnahme über die genannte Mail-Adresse eingeladen.
Günter Mußtopf ist
Geschäftsführer der perComp-Verlag GmbH
( www.percomp.de).
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2001, Seite 70
