电脑病毒的命名
病毒名的一般格式都是采用三段来标识的:病毒前缀.病毒名.病毒后缀 。这里给大家列举一小段扫描报告为例:Backdoor.Win32.Nuclear.~L@779798 E:HACKERTrojWare.Win32.PSW.LdPinch.~HP@1852437E:HACKERBackdoor.Win32.Nucleroot.NAB@89601 E:HACKERBackdoor.Win32.Bandok.j@5314232 E:HACKERBackdoor.Win32.Nuclear.ag@6194658 E:HACKERBackdoor.Win32.Nuclear.NAG@109155 E:HACKERBackdoor.Win32.Nuclear.NAG@149563 E:HACKERTrojWare.Win32.PSW.Delf.vg@5527870 E:HACKERUnclassifiedMalware@9221441 E:HACKERTrojWare.Win32.PSW.LdPinch.~HP@1852437 E:HACKERBackdoor.Win32.Bandok.AV@108534 E:HACKER病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ,蠕虫病毒的前缀是 Worm 等等还有其他的。 病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如上述报告中的'Nuclear'、'Nucleroot'就是病毒名。病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B,因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多,可以采用数字与字母混合表示变种标。如果跟简单一点的说的话,那么拿灰鸽子举例,灰鸽子之所以不断可以逃过杀毒软件的追杀,就是因为其变种不断,如果我们比较其杀毒软件提供的名称,会发现其前缀与病毒名是相同的,但是后缀不同。首先我们来大致了解一下前缀的区分,和病毒的分类,这有利于我们判断病毒的危害性具体的我会当作附录放在文章的最后面。系统病毒:前缀为Win32、PE、Win95、W32、W95,这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播,当然大多数时候是来表示该病毒的运行环境。(Linux的不列举,大家没几个用Linux的)。木马病毒、黑客病毒Trojan、Hack,这类病毒一般为远控木马、盗号木马、木马插件等一系列木马类的病毒,该类病毒大家接触的最多,虽然不具有破坏性,但是会窃取资料。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)。脚本病毒脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有如下前缀:VBS、 *** (表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。我想大家玩过一些强制关机,、倒计时关机一类的VBS脚本文件,有的时候该类文件也会被判断为病毒的。宏病毒其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。后门病毒后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过 *** 传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友
遇到过的IRC后门Backdoor.IRCBot 。比我我示意免杀技术时用到的Bandook就属于Backdoor一类的。病毒种植程序病毒这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。破坏性程序病毒破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。玩笑病毒玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。捆绑机病毒捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如 *** 、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑 *** (Binder. *** Pass. *** Bin)、系统杀手(Binder.killsys)等DDOS攻击程序其前缀为:DoS,会针对某台主机或者服务器进行DoS攻击;溢出工具其前缀为:Exploit,会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;黑客工具其前缀为:HackTool,这一类是我们最为常见的,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。如啊D、明小子、HDSI、NBSI以及其他一些常用的黑客工具,有时其也会被标识为Application,不过因为黑客工具功能繁多,所以在主名称后会有附属名称,我们可以通过其来判断程序的功能。如:Inject为注入、Remote为远程连接等。当然还有很多病毒的类型,如下载病毒了啊、蠕虫病毒了啦什么的,不过太多也无法一一列举(汗一个,主要是我没那么些样本)接下来是病毒的主名称,其标识该病毒的名称或者家族名,我们可以通过它来判断我们中了什么病毒 。病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的,如果无法确定则可以用字符串”Agent”来代替主名称,小于10k大小的文件可以命名为“Samll”。 版本信息 版本信息只允许为数字,对于版本信息不明确的不加版本信息。 主名称变种号 如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位,并且都均为小写字母a—z,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。 附属名称 病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种: Client 说明:后门程序的控制端 KEY_HOOK 说明:用于挂接键盘的模块 API_HOOK 说明:用于挂接API的模块 Install 说明:用于安装病毒的模块 Dll 说明:文件为动态库,并且包含多种功能 空 说明:没有附属名称,这条记录是病毒主体记录 附属名称变种号 如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z,如果一位版本号不够用则最多可以扩展3位,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。 病毒长度 病毒长度字段只用于主行为类型为感染型(Virus)的病毒,字段的值为数字。字段值为0,表示病毒长度可变。由于病毒名称与后缀太多,而且变种的表示也比较繁杂,所以我们只需要将它们与前缀联系起来,大致知道这是一个什么病毒,然后查询一下解决方案。。当然如果有兴趣的童鞋可以自己做病毒分析来追踪一个病毒,也可以提交专业网站进行分析。如
最后个大家一些记录,大家对照附录与文章开始病毒鉴别之旅吧(其实本文很没技术含量的说...)附录:Backdoor,危害级别:1, 说明: 中文名称—“后门”, 是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的 *** 禁止其运行。“后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。 Worm,危害级别:2, 说明: 中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。 Mail,危害级别: 1说明:通过邮件传播 IM,危害级别: 2,说明:通过某个不明确的载体或多个明确的载体传播自己 MSN,危害级别:3,说明:通过MSN传播 *** ,危害级别:4,说明:通过OICQ传播 ICQ危害级别:5,说明:通过ICQ传播 P2P,危害级别:6,说明:通过P2P软件传播 IRC,危害级别:7,说明:通过ICR传播 其他,说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。 Trojan,危害级别:3,说明: 中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的 *** 禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。 Spy,危害级别:1,说明:窃取用户信息(如文件等) PSW,危害级别:2,说明:具有窃取密码的行为 DL,危害级别:3,说明:下载病毒并运行,判定条款:没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行. 逻辑条件引发的事件: 事件1、.不能正常下载或下载的文件不能判定为病毒 ,操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL 事件2.下载的文件是病毒,操作准则: 下载的文件是病毒,确定为: Trojan.DL IMMSG,危害级别:4,说明:通过某个不明确的载体或多个明确的载体传播即时消息(这一行为与蠕虫的传播行为不同,蠕虫是传播病毒自己,木马仅仅是传播消息) MSNMSG,危害级别:5,说明:通过MSN传播即时消息 *** MSG,危害级别:6,说明:通过OICQ传播即时消息 ICQMSG,危害级别:7,说明:通过ICQ传播即时消息 UCMSG,危害级别:8,说明:通过UC传播即时消息 Proxy,危害级别:9,说明:将被感染的计算机作为 *** 服务器 Clicker,危害级别:10,说明:点击指定的网页 ,判定条款:没有可调出的任何界面,逻辑功能为:点击某网页。操作准则:该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定) Dialer,危害级别:12,说明:通过拨号来骗取Money的程序 ,注意:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述 AOL、Notifier ,按照原来病毒名命名保留。 Virus,危害级别:4,说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。 Harm,危害级别:5,说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。 Dropper,危害级别:6,说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。 判定条款:没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。 逻辑条件引发的事件: 事件1:.释放的文件不是病毒。 操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper 事件2:释放的文件是病毒。 操作准则: 释放的文件是病毒,确定该文件为:Droper Hack,危害级别:无 ,说明:中文名称—“黑客工具”,是指可以在本地计算机通过 *** 攻击其他计算机的工具。 Exploit,漏洞探测攻击工具 DDoser,拒绝服务攻击工具
Flooder,洪水攻击工具 ,注意:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述 Spam,垃圾邮件 Nuker、Sniffer、Spoofer、Anti,说明:免杀的黑客工具 Binder,危害级别:无 ,说明:捆绑病毒的工具 正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。 宿主文件 宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种。 *** 说明:JavaScript脚本文件 VBS 说明:VBScript脚本文件 HTML 说明:HTML文件 Java 说明:Java的Class文件 COM 说明:Dos下的Com文件 EXE 说明:Dos下的Exe文件 Boot 说明:硬盘或软盘引导区 Word 说明:MS公司的Word文件 Excel 说明:MS公司的Excel文件 PE 说明:PE文件 WinREG 说明:注册表文件 Ruby 说明:一种脚本 Python 说明:一种脚本 BAT 说明:BAT脚本文件 IRC 说明:IRC脚本
病毒Hack.Exploit.RIFF.a 是什么
黑客病毒。
计算机通用病毒定义及命名规范详解
病毒名是由以下6字段组成的:主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号#附属名称.附属名称变种号.病毒长度。其中字段之间使用“.”分隔,#号以后属于内部信息,为推举结构。
主行为类型与病毒子行为类型
病毒可能包含多个主行为类型,这种情况可以通过每种主行为类型的危害级别确定危害级别更高的作为病毒的主行为类型。同样的,病毒也可能包含多个子行为类 型,这种情况可以通过每种主行为类型的危害级别确定危害级别更高的作为病毒的子行为类型。其中危害级别是指对病毒所在计算机的危害。
病毒主行为类型有是否显示的属性,用于生成病毒名时隐藏主行为名称。它与病毒子行为类型存在对应关系,见下表:
主行为类型 子行为类型
Backdoor
危害级别:1
说明:
中文名称—“后门”, 是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的 *** 禁止其运行。“后门” 其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。
Worm
危害级别:2
说明:
中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软 盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。
危害级别:1
说明:通过邮件传播
IM
危害级别:2
说明:通过某个不明确的载体或多个明确的载体传播自己
MSN
危害级别:3
说明:通过MSN传播
***
危害级别:4
说明:通过OICQ传播
ICQ
危害级别:5
说明:通过ICQ传播
P2P
危害级别:6
说明:通过P2P软件传播
IRC
危害级别:7
说明:通过ICR传播
说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。
Trojan
危害级别:3
说明:
中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的 *** 禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。
Spy
危害级别:1
说明:窃取用户信息(如:文件等)
PSW
危害级别:2
说明:具有窃取密码的行为
DL
危害级别:3
说明:下载病毒并运行
一、判定条款:
没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行.
二、逻辑条件引发的事件:
事件1、.不能正常下载或下载的文件不能判定为病毒。
操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL
事件2.下载的文件是病毒
操作准则: 下载的文件是病毒,确定为: Trojan.DL
IMMSG
危害级别:4
说明:通过某个不明确的载体或多个明确的载体传播即时消息(这一行为与蠕虫的传播行为不同,蠕虫是传播病毒自己,木马仅仅是传播消息)
MSNMSG
危害级别:5
说明:通过MSN传播即时消息
*** MSG
危害级别:6
说明:通过OICQ传播即时消息
ICQMSG
危害级别:7
说明:通过ICQ传播即时消息
UCMSG
危害级别:8
说明:通过UC传播即时消息
Proxy
危害级别:9
说明:将被感染的计算机作为 *** 服务器
Clicker
危害级别:10
说明:点击指定的网页
判定条款:
没有可调出的任何界面,逻辑功能为:点击某网页。
操作准则:
该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。
(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定)
Dialer
危害级别:12
说明:通过拨号来骗取Money的程序
说明:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述
AOL
按照原来病毒名命名保留。
Notifier
按照原来病毒名命名保留。
Virus
危害级别:4
说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。
Harm
危害级别:5
说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。
Dropper
危害级别:6
说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。
一.Dropper判定条款:
没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。
二.逻辑条件引发的事件:
事件1:.释放的文件不是病毒。
操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper
事件2:释放的文件是病毒。
操作准则: 释放的文件是病毒,确定该文件为:Droper
Hack
危害级别:无
说明:中文名称—“黑客工具”,是指可以在本地计算机通过 *** 攻击其他计算机的工具。
Exploit
说明:漏洞探测攻击工具
DDoser
说明:拒绝服务攻击工具
Flooder
说明:洪水攻击工具
说明:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述
Spam
说明:垃圾邮件。
Nuker
Sniffer
Spoofer
Anti
说明:免杀的黑客工具
Binder
危害级别:无
说明:捆绑病毒的工具
正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。
宿主文件
宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种。
*** 说明:JavaScript脚本文件
VBS 说明:VBScript脚本文件
HTML 说明:HTML文件
Java 说明:Java的Class文件
COM 说明:Dos下的Com文件
EXE 说明:Dos下的Exe文件
Boot 说明:硬盘或软盘引导区
Word 说明:MS公司的Word文件
Excel 说明:MS公司的Excel文件
PE 说明:PE文件
WinREG 说明:注册表文件
Ruby 说明:一种脚本
Python 说明:一种脚本
BAT 说明:BAT脚本文件
IRC 说明:IRC脚本
主名称
病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的,如果无法确定则可以用字符串”Agent”来代替主名称,小于10k大小的文件可以命名为“Samll”。
版本信息
版本信息只允许为数字,对于版本信息不明确的不加版本信息。
主名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则 最多可以扩展3位,并且都均为小写字母a—z,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。
附属名称
病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种:
Client 说明:后门程序的控制端
KEY_HOOK 说明:用于挂接键盘的模块
API_HOOK 说明:用于挂接API的模块
Install 说明:用于安装病毒的模块
Dll 说明:文件为动态库,并且包含多种功能
(空) 说明:没有附属名称,这条记录是病毒主体记录
附属名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记 录。变种号为不写字母a—z,如果一位版本号不够用则最多可以扩展3位,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选 择。
病毒长度
病毒长度字段只用于主行为类型为感染型(Virus)的病毒,字段的值为数字。字段值为0,表示病毒长度可变。
病毒的名字叫什么 在电脑里怎么认
我也是个电脑小白这是盗别人的
(1)系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
(2)蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的共有特性是通过 *** 或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞 *** 的特性。比如冲击波(阻塞 *** ),小邮差(发带毒邮件) 等。
(3)木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的共有特性是通过 *** 或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如 *** 消息尾巴木马 Trojan. *** 3344 ,还有大家可能遇见比较多的针对 *** 游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如: *** 枭雄(Hack.Nether.Client)等。
(4)脚本病毒
脚本病毒的前缀是:Script。脚本病毒的共有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有如下前缀:VBS、 *** (表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
(5)宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,以此类推。该类病毒的共有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
(6)后门病毒
后门病毒的前缀是:Backdoor。该类病毒的共有特性是通过 *** 传播,给系统开后门,给用户电脑带来安全隐患。
(7)病毒种植程序病毒
这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。 (8)破坏性程序病毒 破坏性程序病毒的前缀是:Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
(9)玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girl ghost)病毒。
(10)捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如 *** 、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑 *** (Binder. *** Pass. *** Bin)、系统杀手(Binder.killsys)等。 以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下: DoS:会针对某台主机或者服务器进行DoS攻击; Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具; HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。 你可以在查出某个病毒以后通过以上所说的 *** 来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助
[编辑本段]相关
Backdoor,危害级别:1, 说明: 中文名称—“后门”, 是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的 *** 禁止其运行。“后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。 Worm,危害级别:2, 说明: 中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。 Mail,危害级别:1说明:通过邮件传播 IM,危害级别:2,说明:通过某个不明确的载体或多个明确的载体传播自己 MSN,危害级别:3,说明:通过MSN传播 *** ,危害级别:4,说明:通过OICQ传播 ICQ危害级别:5,说明:通过ICQ传播 P2P,危害级别:6,说明:通过P2P软件传播 IRC,危害级别:7,说明:通过ICR传播 其他,说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。 Trojan,危害级别:3,说明: 中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的 *** 禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。 Spy,危害级别:1,说明:窃取用户信息(如文件等) PSW,危害级别:2,说明:具有窃取密码的行为 DL,危害级别:3,说明:下载病毒并运行,判定条款:没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行. 逻辑条件引发的事件: 事件1、.不能正常下载或下载的文件不能判定为病毒 ,操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL 事件2.下载的文件是病毒,操作准则: 下载的文件是病毒,确定为: Trojan.DL IMMSG,危害级别:4,说明:通过某个不明确的载体或多个明确的载体传播即时消息(这一行为与蠕虫的传播行为不同,蠕虫是传播病毒自己,木马仅仅是传播消息) MSNMSG,危害级别:5,说明:通过MSN传播即时消息 *** MSG,危害级别:6,说明:通过OICQ传播即时消息 ICQMSG,危害级别:7,说明:通过ICQ传播即时消息 UCMSG,危害级别:8,说明:通过UC传播即时消息 Proxy,危害级别:9,说明:将被感染的计算机作为 *** 服务器 Clicker,危害级别:10,说明:点击指定的网页 ,判定条款:没有可调出的任何界面,逻辑功能为:点击某网页。 操作准则:该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。 (该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定) Dialer,危害级别:12,说明:通过拨号来骗取Money的程序 ,注意:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述 AOL、Notifier ,按照原来病毒名命名保留。 Virus,危害级别:4,说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。 Harm,危害级别:5,说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。 Dropper,危害级别:6,说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。 判定条款:没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。 逻辑条件引发的事件: 事件1:.释放的文件不是病毒。 操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper 事件2:释放的文件是病毒。 操作准则: 释放的文件是病毒,确定该文件为:Droper Hack,危害级别:无 ,说明:中文名称—“黑客工具”,是指可以在本地计算机通过 *** 攻击其他计算机的工具。 Exploit,漏洞探测攻击工具 DDoser,拒绝服务攻击工具 Flooder,洪水攻击工具 ,注意:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述 Spam,垃圾邮件 Nuker、Sniffer、Spoofer、Anti,说明:免杀的黑客工具 Binder,危害级别:无 ,说明:捆绑病毒的工具 正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。 宿主文件 宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种。 *** 说明:JavaScript脚本文件 VBS 说明:VBScript脚本文件 HTML 说明:HTML文件 Java 说明:Java的Class文件 COM 说明:Dos下的Com文件 EXE 说明:Dos下的Exe文件 Boot 说明:硬盘或软盘引导区 Word 说明:MS公司的Word文件 Excel 说明:MS公司的Excel文件 PE 说明:PE文件 WinREG 说明:注册表文件 Ruby 说明:一种脚本 Python 说明:一种脚本 BAT 说明:BAT脚本文件 IRC 说明:IRC脚本
[编辑本段]事件
1.Elk Cloner(1982年) 它被看作攻击个人计算机的之一款全球病毒,也是所有令人头痛的安全问题先驱者。它通过苹果Apple II软盘进行传播。这个病毒被放在一个游戏磁盘上,可以被使用49次。在第50次使用的时候,它并不运行游戏,取而代之的是打开一个空白屏幕,并显示一首短诗。 2.Brain(1986年) Brain是之一款攻击运行微软的受欢迎的操作系统DOS的病毒,可以感染感染360K软盘的病毒,该病毒会填充满软盘上未用的空间,而导致它不能再被使用。 3.Morris(1988年) Morris该病毒程序利用了系统存在的弱点进行入侵,Morris设计的最初的目的并不是搞破坏,而是用来测量 *** 的大小。但是,由于程序的循环没有处理好,计算机会不停地执行、复制Morris,最终导致死机。 4.CIH(1998年) CIH病毒是迄今为止破坏性最严重的病毒,也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统BIOS,导致主板损坏。 此病毒是由台湾大学生陈盈豪研制的,据说他研制此病毒的目的是纪念1986年的灾难或是让反病毒软件难堪。 5.Melissa(1999年) Melissa是最早通过电子邮件传播的病毒之一,当用户打开一封电子邮件的附件,病毒会自动发送到用户通讯簿中的前50个地址,因此这个病毒在数小时之内传遍全球。 6.Love bug(2000年) Love bug也通过电子邮件附近传播,它利用了人类的本性,把自己伪装成一封求爱信来欺骗收件人打开。这个病毒以其传播速度和范围让安全专家吃惊。在数小时之内,这个小小的计算机程序征服了全世界范围之内的计算机系统。 7.“红色代码”(2001年) 被认为是史上最昂贵的计算机病毒之一,这个自我复制的恶意代码“红色代码”利用了微软IIS服务器中的一个漏洞。该蠕虫病毒具有一个更恶毒的版本,被称作红色代码II。这两个病毒都除了可以对网站进行修改外,被感染的系统性能还会严重下降。 8.“Nimda”(2001年) 尼姆达(Nimda)是历史上传播速度最快的病毒之一,在上线之后的22分钟之后就成为传播最广的病毒。 9.“冲击波”(2003年) 冲击波病毒的英文名称是Blaster,还被叫做Lovsan或Lovesan,它利用了微软软件中的一个缺陷,对系统端口进行疯狂攻击,可以导致系统崩溃。 10.“震荡波”(2004年) 震荡波是又一个利用Windows缺陷的蠕虫病毒,震荡波可以导致计算机崩溃并不断重启。 11.“熊猫烧香”(2007年) 熊猫烧香会使所有程序图标变成熊猫烧香,并使它们不能应用。 12.“扫荡波”(2008年) 同冲击波和震荡波一样,也是个利用漏洞从 *** 入侵的程序。而且正好在黑屏事件,大批用户关闭自动更新以后,这更加剧了这个病毒的蔓延。这个病毒可以导致被攻击者的机器被完全控制。 13.“Conficker”(2008年) Conficker.C病毒原来要在2009年3月进行大量传播,然后在4月1日实施全球性攻击,引起全球性灾难。不过,这种病毒实际上没有造成什么破坏。 14.“木马下载器”(2009年) 本年度的新病毒,中毒后会产生1000~2000不等的木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前3名(现在位居榜首) 15.“鬼影病毒”(2010年) 该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”,所以称为“鬼影”病毒。 16 .“极虎病毒”(2010年) 该病毒类似qvod播放器的图标。感染极虎之后可能会遭遇的情况:计算机进程中莫名其妙的有ping.exe和rar.exe进程,并且cpu占用很高,风扇转的很响很频繁(手提电脑),并且这两个进程无法结束。某些文件会出现usp10.dll、lpk.dll文件,杀毒软件和安全类软件会被自动关闭,如瑞星、360安全卫士等如果没有及时升级到最新版本都有可能被停掉。破坏杀毒软件,系统文件,感染系统文件,让杀毒软件无从下手。极虎病毒更大的危害是造成系统文件被篡改,无法使用杀毒软件进行清理,一旦清理,系统将无法打开和正常运行,同时基于计算机和 *** 的帐户信息可能会被盗,如 *** 游戏帐户、银行帐户、支付帐户以及重要的电子邮件帐户等。
0条大神的评论