Het analyseren van de malware en daarbij het detecteren, desinfecteren en verwijderen heeft de grootste prioriteit. Het daarbij toekennen van een consistente benaming overeenkomstig met de verschillende leveranciers (vendors) is dan ook niet haalbaar en zeker niet in verband met de huidige detectie vormen als (gedragsdetectie).
Door deze manier van detecteren zijn benamingen zoals Trojan.Win32.Generic of Trojan.Win32.GenHeur een trend geworden en heeft als voornaamste nadeel dat het het zoeken naar specifieke eigenschappen van malware een stuk minder eenvoudig maakt.
Malware benamingen interpreteren
Een malware benaming bestaat in de meeste gevallen uit meerdere woorden, afkortingen die één geheel vormen, maar hoe interpreteer je nu deze benamingen?
De gegeven benaming begint met een voorvoegsel (prefix) die het type malware betiteld.
- W32 of Win32
- Trojan of Troj
- TR/Spy
- BackDoor.IRC
- (I)-Worm
- Rootkit
Na deze benaming staat er vaak nog een achtervoegsel (suffix) wat te zien is bij het voorbeeld van de 'Sasser-Worm' die het achtervoegsel .F heeft.
Dit achtervoegsel geeft aan dat de malware tot dezelfde familie behoort maar niet identiek is in de invloed evenals de uitwerking die het heeft.
Deze achtervoegsels worden in alfabetische volgorde toegevoegd die daarbij ook terug te koppelen zijn naar een bepaalde tijdslijn waarin de malware zich heeft weten te muteren. Een achtervoegsel als .BA geeft dus aan dat er al zesentwintig varianten van deze malware bekend zijn.
Dit achtervoegsel is geen specifieke aanduiding, het is dus goed mogelijk dat deze achtervoegsels niet identiek zijn als het gaat om verschillende vendors maar dat de malware zelf wel identiek is.
Achter het achtervoegsel staat soms ook nog extra informatie die getoond word na het @ teken, dit heet in jargon een modifier, die naast de gebruikte naam achter het voorvoegsel bepaalde extra informatie kan geven over het soort malware.
Een goed voorbeeld daarvan is W32.Mydoom.A@mm de @mm geeft hier aan dat het om (mass mailing) een Trojan.
Dit soort informatie is vaak ook midden in een benaming te vinden als zijnde .DL wat staat voor een (Downloader) of (MulDrop) dat staat voor een malware variant (dropper) die weer verschillende malware varianten kan bevatten.