home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / 40hex_9.007 < prev    next >
Text File  |  1995-01-03  |  9KB  |  184 lines
  1. 40Hex Number 9 Volume 2 Issue 5                                       File 007
  2.  
  3. -------------------------------------------------------------------------
  4.                     A New Virus Naming Convention
  5.  
  6.  
  7. At the Anti-Virus Product Developers Conference organized by NCSA in
  8. Washington in November 1991 a committee was formed with the objective
  9. of reducing the confusion in virus naming.  This committee consisted
  10. of Fridrik Skulason (Virus Bulletin's technical editor) Alan Solomon
  11. (S&S International) and Vesselin Bontchev (University of Hamburg).
  12.  
  13. The following naming convention was chosen:
  14.  
  15. The full name of a virus consists of up to four parts, desimited by
  16. points ('.').  Any part may be missing, but at least one must be
  17. present.  The general format is
  18.  
  19.         Family_Name.Group_Name.Major_Variant.Minor_Variant
  20.  
  21. Each part is an identifier, constructed with the characters
  22. [A-Za-z0-9_$%&!'`#-].  The non-alphanumeric characters are permitted,
  23. but should be avoided.  The identifier is case-insensitive, but
  24. mixed-case characters should be used for readability.  Usage of
  25. underscore ('_') (instead of space) is permitted, if it improves
  26. readability.  Each part is up to 20 characters long (in order to allow
  27. such monstriosities like "Green_Caterpillar"), but shorter names
  28. should be used whenever possible.  However, if the shorter name is
  29. just an abbreviation of the long name, it's better to use the long
  30. name.
  31.  
  32. 1. Family names.
  33.  
  34. The Family_Name represents the family to which the virus belongs.
  35. Every attempt is made to group the existing viruses into families,
  36. depending on the structural similarities of the viruses, but we
  37. understand that a formal definition of a family is impossible.
  38.  
  39. When selecting a Family_Name, the following guidelines must be
  40. applied:
  41.  
  42.                                 "Must"
  43.  
  44. 1) Do not use company names, brand names or names of living people,
  45.    except where the virus is provably written by the person.  Common
  46.    first names are permissible, but be careful - avoid if possible.
  47.    In particular, avoid names associated with the anti-virus world.
  48.    If a virus claims to be written by a particular person or company
  49.    do not believe it without further proof.
  50.  
  51. 2) Do not use an existing Family_Name, unless the viruses belong to
  52.    the same family.
  53.  
  54. 3) Do not invent a new name if there is an existing, acceptable name.
  55.  
  56. 4) Do not use obscene or offensive names.
  57.  
  58. 5) Do not assume that just because an infected sample arrives with a
  59.    particular name, that the virus has that name.
  60.  
  61. 6) Avoid numeric Family_Names like V845.  They should never be used as
  62.    family names, as the members of the family may have different
  63.    lengths.  When a new virus appears and a new Family_Name must be
  64.    selected for it, it is acceptable to us a temporary name like
  65.    _1234, but this must be changed as soon as possible.
  66.  
  67.                                "Should"
  68.  
  69. 1) Avoid Family_Names like Friday 13th, September 22nd.  They should
  70.    not be used as family names, as members of the family may have
  71.    different activation dates.
  72.  
  73. 2) Avoid geographic names which are based on the discovery site - the
  74.    same virus might appear simultaneously in several different places.
  75.  
  76. 3) If multiple acceptable names exist, select the original one, the
  77.    one used by the majority of existing anti-virus programs or the
  78.    more descriptive one.
  79.  
  80.                               "General"
  81.  
  82. 1) All short (less than 60 bytes) overwriting viruses are grouped
  83.    under a Family_Name, called Trivial.
  84.  
  85. 2. Group names.
  86.  
  87. The Group_Name represents a major group of similar viruses in a virus
  88. family, something like a sub-family.  Examples are AntiCAD (a
  89. distinguished clone of the Jerusalem family, containing numerous
  90. variants), or 1704 (a group of several virus variants in the Cascade
  91. family).
  92.  
  93. When selecting a Group_Name, the same guidelines as for a Family_Name
  94. should be applied, except that numeric names are more permissible -
  95. but only if the respective group of viruses is well known under this
  96. name.
  97.  
  98. 3. Major variant name.
  99.  
  100. The major variant name is used to group viruses in a Group_Name, which
  101. are very similar, and usually have one and the same infective length.
  102. Again, the above guidelines are applied, with one major exception.
  103. The Major_Variant is almost always a number, representing the
  104. infective length, since it helps to distinguish that particular
  105. sub-group of viruses.  The infective length should be used as
  106. Major_Variant name always when it is known.  Exceptions of this rule
  107. are:
  108.  
  109. 1) When the infective length is not known, because the viruses are not
  110.    yet analyzed.  In this case, consecutive numbers are used (1, 2, 3,
  111.    etc.).  This should be changed as soon as more information about
  112.    the viruses becomes known.
  113.  
  114. 2) When an alpha-numeric name of the virus sub-group already exists
  115.    and is popular, or more descriptive.
  116.  
  117. 4. Minor variant name.
  118.  
  119. Minor variants are viruses with the same infective length, with
  120. similar structure and behaviour, but slightly different.  Usually the
  121. minor variants are different patches of one and the same virus.
  122.  
  123. When selecting a Minor_Variant name, usually consecutive letters of
  124. the alphabet are used (A, B, C, etc...).  However, this is not a very
  125. hard restriction and longer names can be used as well, especially if
  126. the virus is already known under this (longer) name, or if the name is
  127. more descriptive than just a letter.
  128.  
  129.  
  130. The producers of virus detection software are strongly usrged to use
  131. the virus names proposed here. The anti-virus researchers are advised
  132. to use the described guidelines when selecting names for new viruses,
  133. in order to avoid further confusion.
  134.  
  135. If a scanner is not able to distinguish between tow minor variants of
  136. a virus, it should output the virus name up to the recognized major
  137. variant. For instance, if it cannot distinguish between
  138. Dark_Avenger.2000.Traveller.Copy and Dark.Avenger.Traveller.Zopy, it
  139. should report both variants of the virus as Dark.Avenger.Traveller.
  140.  
  141. If it is also not able to distinguish between the major variants, it
  142. should report the virus up to the recognized group name.  That is, if
  143. the scanner cannot make the difference between
  144. Dark_Avenger.2000.Traveller.* and Dark_Avenger.2000.Die_Young, it
  145. should report all the variants as Dark_Avenger.2000.
  146. -------------------------------------------------------------------------
  147.  
  148.      We at Phalcon/Skism welcome the proposals of this new committee.  It
  149. is a step in the right direction, helping clear up the mess caused by the
  150. generation disorganisation which has dominated the virus naming conventions
  151. to date.  Additionally, if implemented properly, it will aid in
  152. identification of strains.  John McAfee's SCAN, which had been the best
  153. virus scanner, fell from grace recently, when it implemented a new policy
  154. of merging scan strings, causing confusion in identification.  Fridrik
  155. Skulason's F-Prot is the current champion of virus identification.
  156.  
  157.      However, we must voice concerns that the rules are not strict enough.
  158. There are clearly too few rules to cover the numerous viruses which
  159. currently exist.  Family, group, and major variant names for most current
  160. common viruses should be established now.  These guidelines need be created
  161. ASAP to avoid later confusion.  In the example in the last two paragraphs,
  162. Dark Avenger strains are labelled separately as Dark_Avenger.2000 and
  163. Dark.Avenger.  Such confusion is simply not acceptable.
  164.  
  165.      Wherever possible, the current common names should be kept.  It would
  166. be a shame if the world lost the Jerusalem family to some mad individual
  167. who wishes to name it 1808.  The rules cover this, but it is important to
  168. set this down initially before stupid people butcher the rules.  Number
  169. names are neither informative nor interesting.  Imagine advertising a
  170. product as being able to catch "the deadly 605 virus."  Some knobs have
  171. proposed a numerical classification scheme of viruses.  They're living in a
  172. dream world.
  173.  
  174.      We applaud the efforts of the committee and may only hope that anti-
  175. virus developers attempt to adhere to the proposed rules.  Hopefully, Mr.
  176. Skulason and Dr. Solomon will lead the way, converting their own products
  177. to this new naming convention.  And who will classify the viruses?  We
  178. propose an open forum for discussion on a large network such as UseNet or
  179. FidoNet moderated by either a virus researcher or anti-virus developer.
  180. This will allow input from many people, some of whom have particular
  181. specialties within certain groups of viruses.
  182.  
  183. Downloaded From P-80 International Information Systems 304-744-2253
  184.