27. September 2005:

Welcher Name für den Wurm?

Taucht im Netz ein neuer Wurm, gilt das Recht des Schnelleren: Die Antivirenfirma, die das Schadprogramm zuerst entdeckt, darf ihm einen Namen geben. Verbindliche Vorschriften gibt es dabei nicht. Da es oft nicht einfach zu entscheiden ist, welche Firma nun die Erste war, die einen neuen Wurm entdeckt hat, bekommt ein neuer Schädling oftmals viele Namen – das Namenschaos ist perfekt. Das soll nun anders werden. Das United States Computer Emergency Readiness Team (US-CERT) will dem Namenswirrwarr nun ein Ende machen – vorausgesetzt, die Antivirenindustrie spielt mit.

MiMail = Novarg = Mydoom
Ende Januar 2004 tauchte er zum ersten Mal im Netz der Netze auf. Ein neues Wurmprogramm wurde entdeckt. Die einen nannten es Novarg, bei den anderen hieß der neue Wurm Mimail. Richtig bekannt wurde jener neue Emailwurm jedoch unter dem Namen Mydoom. Sein Namensgeber hieß Craig Schmugar. Der Virenexperte arbeitete damals für die Antivirenfirma McAfee. Bei der Untersuchung des Wurmquellcodes fielen ihm die Worte „my domain“ auf, die sich irgendwo im Quellcode versteckt hatten. Schmugar zog die beiden Worte zusammen, verkürzte sie zu „mydom“, fügte ein Extra-„O“ hinzu – und fertig war „Mydoom“ („Mein Verhängnis“). Der Name klang bedeutungsschwer und unheilsschwanger und setzte sich am Ende durch, weil die Medien sich bei ihren Berichten auf diesen reißerischen Namen stürzten. Die Internetanwender aber waren wieder einmal reichlich verwirrt. Ihr Virenscanner schützte vor Mimail, kannte er auch Novarg und Mydoom?

Einheitliche Namensgebung
Unter Federführung des US-CERT soll dieses Namenschaos künftig der Vergangenheit angehören. Seit einem halben Jahr läuft dort bereits das Projekt Common-Malware-Enumeration-Website (CME) im Probebetrieb. Ziel ist es, allen Viren, Würmern und Trojanern einen einheitlichen Namen zu geben, eine ID, die von allen Antivirenfirmen übernommen wird. Zu diesem Zweck werden die Antivirenfirmen aufgefordert, neu entdeckte Schädlinge an die CME-Initiative einzuschicken. Die Schädlings-Samples werden für zwei Stunden gesammelt. Dann wird eine verbindliche CME-Nummer vergeben. Treffen mehrere Samples und Schadprogrammbeschreibungen ein, die nicht übereinstimmen, werden die betreffenden Antivirenfirmen auf die Konflikte in ihren Beschreibungen mit der Bitte hingewiesen, das Problem zu lösen, das Schadprogramm also einer genaueren Analyse zu unterziehen.

Antivirenfirmen interessiert
Dem Vernehmen nach zeigen sich die großen Antivirenfirmen diesem Projekt gegenüber aufgeschlossen. Computer Associates, F-Secure, Kaspersky Lab, McAfee, MessageLabs, Microsoft, Trend Micro, Sophos und Symantec haben offenbar bereits ihre Unterstützung zugesagt. Das neue Verfahren zur Namensgebung wird allerdings zunächst nur bei größeren Schadprogrammbedrohungen eingesetzt werden. Später sollen alle Schadprogramme in das Projekt mit einbezogen werden und eine einheitliche CME-Nummer erhalten. Ziel der Initiative ist es, die Informationen über Schadprogramme besser zu koordinieren.

Keine einheitliche Nomenklatur
Eine einheitliche Nomenklatur für Viren, Würmer und Trojaner soll nicht entwickelt werden. Hier existieren im Übrigen bereits einige Standards, die von den meisten Antivirenfirmen auch akzeptiert werden. Der volle Name des Mydoom-Wurms lautete zum Beispiel bei McAfee „W32/Mydoom@MM“. „W32“ weist darauf hin, welches Betriebssystem betroffen ist (Windows, 32 Bit). Der Anhang nach dem „@“-Zeichen erklärt, wie sich der Wurm verbreitet, in diesem Fall per „MM“, also per mass mail oder Massenmail. Weitere Standardisierungen gibt es derzeit nicht.

Zurück zur News-Übersicht