Wie Schadprogramme und Sicherheitslücken Ihre Namen erhalten

Autor: Jiri Sejtko


 

Sie haben vielleicht schon einmal Namen wie Cryptolocker oder Heartbleed gehört und sich gefragt: „Woher kommen diese Namen? Und warum?“

 

Ihre nächste Frage könnte sein: „Bekommen alle Viren und Sicherheitslücken Namen?“

 

 


Nun, meistens ist es so, dass ein einzelnes Schadprogramm keinen speziellen Namen erhält. In diesem Sinne ähnelt Schadsoftware den Sternen (mit der Ausnahme, dass Nutzer nicht die Möglichkeit bekommen, einen Namen für eine Schadsoftware zu kaufen): Es gibt so viele Sterne, dass es keinen Sinn ergibt, jedem einzelnen einen individuellen Namen zu geben.

 

Der Großteil der ausgewählten Schadprogramme wurde nach ihrer Funktionalität benannt, wie zum Beispiel „Banker“, „Downloader“ oder ihnen wurde ein völlig allgemeiner Name gegeben, wie zum Beispiel „Agent“ oder „Malware“.


Dann gibt es die größeren Schadprogramm-Familien, bei denen die Namensgebung sinnvoll ist, um Bedrohungsanalysen zu erstellen. Dies macht auch aus PR-Perspektive Sinn, für die Aufklärung der Nutzer. Sie können es sich so vorstellen, als ob Schadsoftware-Familien Familiennamen oder Nachnamen bekommen. Im Wesentlichen gruppieren Forscher bereits aufgetretene Schadprogramme für zukünftige Analysen und rückverfolgen deren Aktivitäten, da sich Schadsoftware heutzutage schnell verändert und wandelt. Diese Namen basieren gewöhnlich auf den Informationen, die wir über das Programm haben, wie zum Beispiel eine leicht veränderte Command-&-Control-Domain (C&C), der Name des Autors oder die Funktionalität des Programms.


Forscher vergeben auch spezielle Namen für Schadprogramm-Familien und Programmfehler, wenn sie glauben, dass diese eine große Auswirkung auf die Öffentlichkeit haben und mediales Interesse auf sich ziehen werden.


In manchen Fällen benennen die Entwickler von Schadprogrammen diese selbst. Das Ransomware-Paar Petya und Mischa wird im Darknet enorm von seinem Entwickler Janus vermarktet. Janus hat sogar Logos für Petya und Mischa kreiert.


Wie der Heartbleed-Programmierfehler seinen Namen bekommen hat, ist interessant. Heartbleed ist eine wirklich enorme Sicherheitslücke, die es Angreifern erlaubt, den Speicher des Servers zu lesen und zum Beispiel Zertifikate auszulesen. Die Angreifer senden selbst erstellte Heartbeat-Signale an den Server – dieses Signal ist vergleichbar mit einer Aufforderung, Daten zu senden. Das Heartbeat-Signal verursachte in dem Fall die Ausnutzung dieser Schwachstelle. Der Server schickte geheime Informationen zurück und ließ den Server sozusagen „ausbluten“ – so entstand der Name Heartbleed. Die Medien haben den Namen geliebt, weil dieser unmittelbar beschreibt, was der Programmfehler tut.


Ziemlich häufig nutzen verschiedene Antivirensoftwarehersteller verschiedene Namen für die gleichen Familien. Meistens versuchen wir, bei demselben Namen zu bleiben, um Verwirrung zu vermeiden.


In Bezug auf die Industrie oder sogar auf meine Kollegen hier bei Avast, ist mir aufgefallen, dass es immer zwei Seiten oder Gruppen gibt. Eine Seite will jedem Schadprogramm, das sie entdeckt, einen speziellen Namen geben. Die andere Seite hingegen will nur einen Namen zur Erkennung, der besagt: „Das ist Schadsoftware!“ Ich muss sagen, dass wir so ziemlich in der Mitte dieser zwei Seiten stehen und das wird sich wahrscheinlich auch nie ändern.


Jetzt wisst ihr Bescheid, Leute! Ihr kennt nun den Hintergrund dazu, wie Schadsoftware und Sicherheitslücken ihren Namen bekommen.