台灣賽門鐵克股份有限公司
 全球網路
產品訊息
產品購買
售後服務
安全檢測
最新病毒定義檔
關於賽門鐵克
搜尋
回應與建議

©1995-2006
賽門鐵克公司
所有內容版權屬於公司所有
法律注意事項
隱私權政策
Products


名字真的重要嗎?
淺談病毒命名問題


Sarah Gordon
賽門鐵克安全機制應變中心
原刊載於 SC 雜誌,2002 年 6 月號


本文將探討,病毒的命名方式如何影響使用者,並檢討命名可能會以哪些方式影響使用者對防毒產品的看法。

孟達吉家、賈布烈家 (Montagues、Capulets 註1) 以及其他的命名問題……

乍看之下,病毒的命名方式似乎還是個有爭議的問題。總之,大多數的人都會認為每一個電腦病蟲都應該有一個"科學的"名字以適用於病毒本身,就如同每種植物都有一個"正確的"名字一樣。然而,此時此刻這個問題又再度出現:傳統的生物分類法依賴的是樣本。

WildList 提供了最適當的科學分類的說明。網站如下:http://www.wildlist.org/naming.htm,有興趣的讀者可以上網參閱更深入的討論。

簡言之,生物學家使用一個以樣本為基礎的命名架構,因此新的植物終究會與已知植物的參考樣本比較來進行辨識。因此,就理論上而言,每個案例都極有可能回歸到"參考資料",讓科學家可以以正規的方式來辨識樣本本身確實是「蓮香報春花」(Primula veris 為其學名),而絕不可能是其他的植物。如果可以正確的施行,這種系統會十分周全且非常可靠。

然而問題在於,若要將這種方法應用在防毒世界裡,就會欠缺參考資訊的收集或者甚至是一個主要的命名機構。然而新品種的植物並不是每天被發現(而且在這些植物繁殖蔓延前也沒有命名的迫切需要!),但是在防毒世界中,每天都有許多新病毒發生,而且在某些情況下,這些病毒的相關資訊必須被迅速的傳遞給使用社群。所以這些病毒需要一個暫時的名字。而且,不同廠商發現病毒的時間可能有些微的差距,除非這些廠商已經比較了樣本,否則他們會無法協調出病毒的名稱。

假設每一家廠商都想要儘快提供解決方案給客戶,那麼在這個期間想要等待一個"對的名字"可能會無法如您所願。使用者會為同一隻病毒在各家廠商網站有不同的名稱而感到困惑。這是怎麼一回事呢?

對所有的防毒產品廠商來說,以科學方法建立有效電腦病毒分類的一大障礙在於:業界缺乏一個收集參考資訊的專職機構。雖然有一個鬆散的組織團體如 CARO ,已經在建構病毒命名領域方面投入甚多,但這些組織的本質使得他們失去維護與管理任何真正科學化命名架構的資格。

雖然病毒的總數量很多,但大多數主要的病毒不會被視為是"在野外的"(in the wild),也就是說它們確實會在使用者的電腦環境擴散蔓延,而不僅只是存在於實驗室的某個角落。因此應該要處理最緊要的問題,而不是去處理一般性的問題;因為那些病毒會真的造成真實世界的問題。為達到這個目標,WildList 組織採取兩個重要的步驟,應可協助解決命名的問題,或者至少對測試重要的自動散佈型(in-the-wild)病毒會有所幫助。

因為所有的廠商很難在同一時間發現一隻特定的病毒,但某些廠商可能會幾乎同時發現,所以至少在一開始,廠商所提供的病毒名稱必定會不一致。因此, WildList 的別名功能提供大多數人需要且公正客觀的病毒名稱與別名參考。當您所使用的防毒產品偵測到病毒時,WildList 可協助您在兩個不同的防毒廠商的命名架構之間翻譯病毒名稱。例如,以下的 J&M 病毒至少就有兩個來自不同廠商的名稱:"Jimi"和 "Hasita"。


病毒名稱 [別名] 發佈日期 發佈者
AntiCMOS.A [Lenart] 1/95 OzSkSmWs
AntiEXE.A [D3] 9/94 EwOzSmWsZz
Empire.Monkey.B [Monkey 2] 7/94 WsZz
Form.A [Form 18] 7/94 CsEwPbSkSmWsZz
J&M.A [Jimi,Hasita] 6/95 MtPb

其次,由 WildList 組織建立的 WildCore 參考樣本組,可供防毒廠商參考。這套工具已有效地變成參考樣本組,而這也是以往業界所欠缺的。

在完美的世界裡,所有的廠商都會使用這類型的組件來建立一個掃描器,以對相同的病毒提供相同的名字。然而,即使我們很希望這麼做,但也沒有辦法可以強制廠商使用一模一樣的名字。因此,這種類型的樣本組可讓廠商輕鬆的彙編病毒別名,只要運用得當且時機合宜,它是建置一套更協調的命名架構方法。

實際的問題
除了上述關於精確命名的科學議題,也有幾個實質的理由可以說明為何精確的命名病毒樣本並非全然有利。

不必精確命名病毒最重要的原因之一是因為如同 Pareto Principal 中所說的─它會是事倍功半的工作。因此,以分析與編碼需求的觀點來看,要準確的命名一隻病毒會是一項間接成本,但準確命名對使用者來說卻無法提供更多的資訊。

當思考病毒分類問題時(本文的目的在於討論如何分類虛構的 WM.Theora 病毒 ),我們應該瞭解這些病毒都有些微的差異,但在行為上並無不同。我們應該明確的辨識這些病毒中的任何一隻(意即:WM.Theora.A, WM.Theora.B...),或者衡量它是否需要被分類:WM.Theora.Generic 或者是 WM.Harmless?這只是一個觀點不同的問題。

對一個有興趣建立正規樣本分類法的科學家來說,他們最好可以清楚且精確的辨識病毒。然而,從使用者的觀點來看,他們關心的主要還是如何偵測與移除病毒。因此,命名其實是無關緊要的!因此,從理論的觀點來看,我們可以說最好可以為病毒取一個完美的名字,但就使用者利益的觀點來說,這並不是必要的。

除了事倍功半之外,要精確地命名一隻病毒也會牽涉到時間成本、龐大的檔案更新以及記憶(memory footprints)的問題。因此,精確的命名並不是零成本的工作,而且當病毒與病蟲的數量持續飆升時,這項成本也可能會增加。

然而,防毒廠商所面臨的另一個議題是回應的時間。當發現一個新的網路病毒(network-aware virus)時,回應的速度通常是最重要的。寧達病蟲(W32.Nimda.A@mm)疫情便完全展現了一隻新病蟲如何快速的在交互網路環境(inter-networked environment)中散佈。因此業界的各家廠商通常會在病毒名稱達成共識前,先行發佈新病毒的相關資訊。

確實是應該這麼做,因為最重要的是提供防護,而非命名。雖然未來的產品修正可能會將病毒名稱標準化,以回溯病毒;但期許新病毒有一個"對的"名字確實有些不合理。

此外,當越來越多的網路混合式威脅出現時,提供這些威脅利用的弱點相關資訊就變得更為重要,而且還要讓使用者容易取得這些參考資訊。CVE (The common vulnerabilities and exposures)辭庫 (www.cve.mitre.org) 為這類威脅提供完善的交互參考資源。但我們還是得視廠商是否會將這個參考資訊納入產品或病毒分析參考之用。

無論如何,不管廠商是否應該在某個時間內回頭將病毒的名稱改成和 WildList 所公佈的一樣,或者主要的廠商所公佈的病毒名稱應該與 CVE 一致,這都是一個很爭議的問題。漢堡大學病毒測試中心(University of Hamburg's Virus Test Center) 的教授 Klaus Brunnstein 表示:「重新命名似乎是適當的(而且廠商通常會這麼做)。而且某些病毒並沒有釀成大禍,但是如果病毒或病蟲到處擴散蔓延,那麼唯一的機制就是命名或更新網站上已知的「別名」(ALIASES)項目。這意味著必須要以更專業的方法來維護網站,而網站必須要能提供進一步的資訊。最佳的解決方案是用專業的方法,而非尋找不可能(或是理論性)的解決方案。

為病毒命名的成本無可避免的會加諸在使用者身上。假設防毒業界全面的提供病毒別名的資訊,提供所有廠商一個恰當的翻譯方式;但我們不禁要質疑:是否有需要投入這麼多時間與精力來確實的符合病毒命名的要求?


測試的意義與測試的使用者
先前的討論並不表示辨識野外(in the wild)的病毒是件不重要的事。如我們所討論的,WildList 組織的確致力於建立一個命名架構,因此以科學的方法為相同的病毒樣本建立一致的名稱是有可能的(另一個與命名相關的議題是參考資訊的收集)。

然而,以適當的觀點將符合的相關重要性與命名架構並列是很重要的。

當測試者尋找改善測試通訊協定的方法時,最明顯的(也是最早的)分析方式之一是與受試產品所提供的特定病毒名稱來比較,或許可以達成此一目標。但問題在於這已經模糊了問題的焦點(防護與修復感染),並且會讓這個問題變得更難解。

因為防毒社群(anti-virus community)會不斷的爭論什麼才是電腦病毒"對的"名稱。這種爭論在激起學術圈討論的同時,也可能直接影響使用者對防毒產品的看法。

例如,如果某家廠商使用了一個"錯的"名稱,那麼他們是否應該受罰?我們是否應該期待廠商使用"精確的"名稱,而這麼做是否又有什麼意義?

當要決定如何進行延伸的防毒產品測試時,測試者最重要的考量原則便是:採用對使用者來說最重要的測試方法,而不是選擇一個最容易的測試方法,或者推砌出一些看起來很科學的圖表。解毒與偵測可靠度的重要性,和更新病毒定義檔的簡易度與速度是一樣的。這兩方面的任何改善,對使用者來說都比深奧的命名議題來得實際。

當審視一個獨立測試時,清楚的瞭解這些防毒產品的病毒偵測率與可靠度是如何計算就變得十分重要。如果將命名錯誤列入整體分數的考量之中,您就得重新解讀測試報告了。再者,就長期而言,與測試者保持聯絡可能會有很多好處,同時也可以讓他們知道命名結果的精確度甚至也應該被納入整體的計分中。

結論

廠商確實需要指南來引導他們使用標準的方法為病毒命名,這個開放、可公開的指南應該要讓每個人都可以取得。雖然這還是無法避免各家廠商提供不同的病毒名稱,但這至少是第一步。

隨著網路混合式威脅的出現,弱點資料庫可以讓我們瞭解弱點在病毒攻擊中所扮演的角色。最終,廠商用來辨識弱點的參考數字並不是為了吸引媒體的特徵,CVE 資料庫是以完備、可存取的格式來提供這類型的資訊。

總之,任何防毒產品最重要的功能都是如何減少電腦病毒問題所造成的整體成本。對您的公司來說,最好的防毒產品便是讓您可以享有最低整體擁有成本( total cost of ownership)。正確命名能降低多少成本目前我們無法得知,但可以肯定的是,命名確實有可能會增加成本。

如同我們看到的,在思考應如何評估防毒廠商命名的優劣時,我們應該瞭解這牽涉到許多因素,甚至也應考量如何使用這樣的評估,以決定一個產品保護企業免於電腦病毒威脅的效果。

或許莎翁的經典名句是最好的詮釋:

名字算什麼?
玫瑰就算換了個名字,也依舊芳香。
(『羅密歐與茱麗葉』II. ii. 43-44)

註1:Montagues、Capulets 為羅密歐與茱麗葉家族的姓氏


Sarah Gordon 為「賽門鐵克安全機制應變中心」的資深研究員。 (http://www.symantec.com/).

SC On-Line
SC Magazine
www.scmagazine.com
Copyright (c) West Coast Publishing. All rights reserved.