但是,这种情况将得到改变。CME-540是Common Malware Enumeration(CME)项目给该蠕虫病毒指定的标识符。下个月,美国电脑紧急情况应对小组(CERT)计划正式启动该项目,旨在减少由安全厂商给相同的蠕虫、病毒等恶意代码所起的不同名字带来的混乱。
该项目为每种特定的恶意代码指定一个唯一的标识符。当被包含在安全软件、安全公告、病毒“百科全书”中时,这一标识符将有助于人们判断哪种恶意代码攻击了系统、系统是否能够抵御攻击。CME项目的技术负责人贝克说,在恶意代码的名字上存在许多混乱。通过给予恶意代码一个通用的标识符,使所有人能够用同一个标识符讨论相同的恶意代码,这将减少不同名字带来的混乱。
反病毒产业以前也曾经尝试过这样的项目,但没有成功。这次充当主角的将是美国CERT。由于该项目允许企业继续使用它们自己给病毒所起的名字,而它指定的则是一个标识符,安全厂商预计这一项目能够成功,它们也会急切地要求加入快项目。赛门铁克安全响应中心的高级主管文森特说,所有人都意识到了这是痛苦之源,安全产业过去曾多次为此而努力。CME是在正确的方向上迈出的一步。
安全软件厂商McAfee的高级官员杰米也赞成这种观点。但他指出,CME项目能否成功取决于业界的参与程度。他说,存在这一问题的原因是任何人都不能迫使安全厂商加入该项目。杰米希望人们促使反病毒厂商加盟该项目。
文森特和杰米都表示,赛门铁克、McAfee将在它们的产品和网上威胁数据库中支持CME。趋势和卡巴斯基实验室也将加入该项目,包括F-Secure、Sophos、冠群、微软、MessageLabs在内的安全厂商也将加盟该项目。
由于在对威胁命名方面缺乏合作,对于同一个威胁,不同的厂商会有不同的名字。这就可能会造成混乱,使人们怀疑出现了多种病毒或蠕虫,还是只有一种,以及他们的安全软件是否能够保护自己不会受到攻击。零售商PureBeauty负责技术的副总裁维克多认为这一项目非常有价值。他说,它有助于我们迅速地获得有关病毒的资料。在使用来自多家厂商的多种不同安全产品的大型公司中,命名不统一会造成更大的混乱。赛门铁克的文森特说,这真的是个问题。他说,对于一种迅速传播的蠕虫病毒,台式机反病毒软件和部署在电子邮件网关的扫描软件或入侵探测系统会显示不同的名字,这会使人们怀疑每种产品是否能够抵御一种恶意代码。
贝克表示,CME标识符能够减少这种混乱。她说,最初时,只有重大威胁才会被指定一个标识符,但最终目标是覆盖所有影响用户的攻击。CME的目标是提供一种能够减少命名混乱的中立、共享的识别方法。无论安全厂商如何命名,它将为每种病毒和蠕虫随机地选择一个号码。即使安全厂商不同意对恶意代码的危险性评估或恶意软件的背景,CME也将忽略这些分歧,而根据攻击的特征对它命名。
贝克表示,在一种新蠕虫或病毒开始传播后的数小时内,CME就会给它指定一个标识符。安全厂商应当在它们的产品包含这一标识符,并在它们的公告中包含指向CME网站上信息的链接。贝克说,建议安全厂商在对威胁的命名中包含CME的标识符。例如,用户的显示屏上可能显示这样的信息:发现了Zotob.E!CME-540!
这一项目完全依赖于业界厂商的参与。只有在研究人员向CME提交威胁代码实例后,CME才会指定一个标识符。与CME相关的一个组织会对威胁进行研究,比较来自不同反病毒厂商的信息,指定一个标识符并发布有关该威胁的资料。贝克说,业界厂商对于参与该项目一直非常积极,它们相信这一项目能够带来长期的利益。
包括McAfee和赛门铁克在内的一些反病毒公司已经在它们发布的一些安全公告中使用了CME标识符。贝克预计,获得CME标识符的恶意代码越多,在产品中支持该项目的公司也就会越多。她说,这是一个“先有鸡,还是先有蛋?”式的问题。
