CARO

Computer Antivirus Research Organization es un grupo informal que ha estado trabajando desde 1990 para estudiar el fenómeno de los virus informáticos. CARO esencialmente suprimió a otros grupos más informales de profesionales antivirus. CARO precedió a EICAR, una organización más formal, pero que fue fundada por un grupo similar al de CARO. Mientras que CARO siempre fue un grupo técnico, EICAR tenía un enfoque legal y de seguridad distinto. Hoy en día ambos grupos trabajan por separado. Un producto conjunto histórico fue el archivo de testeo EICAR creado por personal de CARO y publicado por EICAR. Uno de los fren tes más importantes que se trata es el de la nomenclatura de los virus informáticos.

Convención de nombres de malware[editar]

En 1991 la Computer Antivirus Research Organization establece un criterio para denominar al malware.^[1]​ Esta nomenclatura se basa en seguir el siguiente patrón:

Family_Name(prefijo)+Group_Name(Nombre)+Major_and_Minor_Variant(Variante)+[Modifier(Sufijo)]

(La mayoría de los fabricantes separan el prefijo del nombre mediante una barra "/" y este de la variante con un punto ".")

Donde:^[2]​

• El prefijo indica la plataforma a la que afecta el virus, el lenguaje en que está escrito o el tipo de malware. Algunos fabricantes yuxtaponen más de un prefijo, así Worm.W32 señalaría a un gusano para sistemas Windows de 32 bits. Ejemplos de prefijos son los siguientes:
  • W32 -> Afecta a sistemas Windows de 32 bits (Windows 95/98/ME/NT/2000/XP)
  • W95 -> Afecta a sistemas Windows 95/98/ME
  • WM -> Virus de macro de Microsoft Word
  • XM97 -> Virus de macro de Microsoft Excel 97
  • Worm -> Gusano
  • Troj -> Troyano
  • Bck -> Puerta trasera
  • VBS -> Escrito en Visual Basic Script
  • JS -> Escrito en Java Script
  • HTML -> Virus incrustado en código HTML para explotar alguna vulnerabilidad
  • Mac -> Afecta a sistemas Apple Macintosh
  • Linux -> Afecta a sistemas Linux
• El nombre del espécimen es asignado por cada fabricante de antivirus y normalmente se corresponde bien con alguna característica destacable del virus (Viernes 13), bien con algún término presente en los mensajes en los que se propaga, en el propio código del virus o en textos que este presenta tras la infección (LoveLetter, Netsky). Distintas organizaciones pueden utilizar distinto nombre para un espécimen dado, de ahí que se hable de "alias" para identificar los diferentes nombres.
• Variantes. Es habitual que cada malware tenga varias variantes del original, pudiendo llegar a centenares y constituir auténticas familias. Para identificar estas variantes se utilizan letras que se asignan en orden alfabético a medida que se detectan nuevos miembros de una familia.
• Los sufijos se utilizan para reseñar alguna otra característica importante del virus, tales como:
  • @m -> Virus de propagación por correo electrónico
  • @mm -> Virus de propagación masiva por correo electrónico
  • gen -> Detección genérica, en este caso no se dispone de una identificación precisa de la variante.

Por ejemplo Win32/Conficker.D identifica la variante D del gusano Conficker.^[3]​

El hecho de que este sistema no es un estándar oficial, y que no es aplicado de forma consistente entre las organizaciones que lo adoptan, es frecuente que el mismo malware tenga múltiples identificadores basados en esta nomenclatura lo que causa confusión. Uno de los problemas de esta nomenclatura es que intenta codificar atributos del malware como parte del identificador, lo cual es muy difícil sin hacer el identificador demasiado largo lo que hace muy engorroso la utilización de la nomenclatura. Además no hay forma de determinar que atributos críticos deberían estar presentes en el identificador y cuales no. Todo esto provocó la aparición de otras estandarizaciones.<ref name="maec"/ >

Véase también[editar]

• EICAR

Referencias[editar]

Enlaces externos[editar]

• El Website de CARO
• El Esquema de Nombres Malintencionados de CARO