En lo general cada casa de antivirus utiliza su propia nomenclatura, que pueden llegar a confundir a los usuarios.
Es por esto que se creó, CARO (Computer Antivirus Reserch Organization)que estudia el fenómeno de los virus informáticos. Fue diseñada por Alan Solomon,Fridirk Skularson y Vesselin Bontchev en 1991 actualizada posteriormente por Gerald Scheidl en 1999.
La importancia de CARO, está en que las casas de antivirus suelen seguir las reglas de nomenclaturas
A continuación, podremos apreciar dos tipos: la primera corresponde a una estándar y la ultima a CARO:
Nomenclatura de los nombres de antivirus
Correspondiente a los Virus de Macro, el primer carácter indica la aplicación , el número que sigue la versión de la aplicación y acaba con el carácter “M”
Primera característica
“A” - Microsoft Access
“O” - Microsoft Office
“V” -Microsoft Excel
Ejemplo
A97M virus de macro de funcional Access 92
V4M infecta la versión de 4 de visio
En el caso de Excel, también es posible contagiarse con las formulas en este caso en lugar de la letra “M” al final de la letra “F” de forma
Ejemplo
X97F-infectan los ficheros de formula de EXCEL 97
A parte de lo anterior tenemos los virus escritos en VBS o Java Script
VBS: Virus de Visual Basic Script
Js : Virus de Java Script
Unix: funcionan en Unix/Linux están hechos usados en lenguaje de Shell
Para los virus tradicionales escritos en lenguaje ensamblador o algún lenguaje compiladle se usa una combinación de tres caracteres que indican en que plataforma funcionan
W2K: funcionan en Windows 2000
W32: Funciona en plataformas Windows de 32 bits. (Windows 95, 98,
ME, NT, 2000, XP).
W95: Win95: Funciona en Windows 95 y 98.
WNT: Funciona en Windows 32
Después de los tres primeros caracteres, la barra "/" y un nombre, algunas veces
suele ser alguna cadena de texto que se puede encontrar dentro del virus, otras veces el nombre lo ha puesto el propio programador del virus, en algunas ocasiones incluso se usa un número que indica el tamaño en octetos que ocupa el virus.
Ejemplo:
VBS/Loveletter
W32/Petador
En algunas ocasiones, un virus puede ser una mutación o variante de otro, por lo
que se indica con una letra adicional separado del nombre con un punto:
Ejemplo:
VBS/Loveletter.A
VBS/Loveletter.B
W32/Petador.A
W32/Petador.B
Los virus más antiguos, de la época del DOS, no usan la nomenclatura de los tres primeros caracteres, como por ejemplo:
Flip
Barrotes
4096
En lo general cada casa de antivirus utiliza el siguiente patrón
Extracto del modelo CARO
Forma general
Prefijo.Nombre.Variante
[<type>://][<platform>/][<family>][<group>][<length>][<variant>][<modifiers>[!<comment>]
El prefijo nos indica la información sobre la plataforma y el tipo, de ésta manera sabremos si se trata de un virus, un gusano o un troyano, a que sistema afecta o en que lenguaje está escrito
Ejemplo
WM =Virus de macro para Word
XM = Virus de macro para Excel
W32 = Virus Win 32
I-Worm= gusano de internet
Troj = Caballo de Troya
VBS escritorio en Visual Basic Script
Tipo de virus que no corresponden a virus funcionales
Joker = Broma, no tiene ningún efecto dañino ni se propaga
Intented = Virus que no funcionan
Con relación al nombre especifico del virus, el cual crea confusión, dado que normalmente guarda relación con algún nombre o comentario que el propio autor del virus ha dejado en el interior del código o el tema que utilizó para crear el Virus (el nombre del archivo por el cual se propaga)
Las variantes dependerán exclusivamente de cada motor de antivirus
Si un motor para poder identificar un malware necesitara 8 firmas diferentes con sus respectivas versiones, otro motor puede llevar a cabo una detección más genérica de todas las variantes con solo una firma y bajo un único nombre.
Algunas casas de antivirus guardan relación con el método y velocidad de propagación si:
@M se propaga a través de correo electrónico.
@MM se propaga por e-mail de forma masiva.
Un ejemplo aplicado de CARO lo podemos apreciar en el siguiente ejemplo :
Este virus corresponde a una variante del gusano W32.klez.E@mm capaz de propagarse por medio del correo electrónico y los recursos compartidos en red y la capacidad de infectar archivos
W32 = Win32, podría afectar a Windows 9x/Me/NT/2000/XP
Klez = Nombre del virus en el interior de su código encontramos el comentario
Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002,made in Asia
h = Al menos existen 7 versiones anteriores
@MM = se distribuye de forma masiva por e-mail
El mismo virus es conocido como:
W32/Klez.h@MM [McAfee], WORM_KLEZ.H [Trend], WORM_KLEZ.I [Trend], I-Worm.Klez.h [Kaspersky], Klez.H, W32/Klez-H [Sophos], Win32.Klez.H [Computer Associates], W32/Klez.I [Panda], W32/Klez.H@mm [Frisk]