附录C. 威胁命名原则 |
侦测到病毒代码后Dr.Web组件通过界面通知用户并在日志文件中记录Doctor Web公司为病毒命名的名称。病毒命名遵循一定的原则,反应病毒结构、所威胁的对象的类型、传播环境(操作系统和应用包)以及一系列其他特征。了解这些命名原则有助于判断受保护系统存在的软件漏洞和设置漏洞。以下是对命名原则的简短介绍;了解详细信息请参阅https://vms.drweb.com/classification/。 这一分类在一些情况下只体现大致的情况,原因是具体的病毒可能同时具备上述多个特征。此外,这个分类远非穷尽性分类,随着新病毒类型的不断出现,其分类也随之发生相应的变化。 病毒的完整名称由几个元素构成,用点隔开。名称开始的一些元素(前缀)和结尾的一些元素(后缀)对应的是现有病毒分类的标准内容元素。 常见前缀 操作系统前缀 为感染操作系统(OS)执行文件的病毒命名时使用下列前缀: •Win——16位OS Windows 3.1软件; •Win95——32位OS Windows 95/98/Me软件; •WinNT——32位和64未OS Windows NT/2000/XP/Vista/7/8/8.1/10软件; •Win32——32位不同环境OS Windows 95/98/Me和OS Windows NT/2000/XP/Vista/7/8/8.1/10软件; •Win64——64位OS Windows XP/Vista/7/8/8.1/10/11软件; •Win32.NET——OS Microsoft .NET Framework中的软件; •OS2——OS/2操作系统软件; •Unix——各UNIX系统软件; •Linux——OS Linux软件; •FreeBSD——OS FreeBSD软件; •SunOS——OS SunOS (Solaris)软件; •Symbian——OS Symbian OS (移动OS)软件。 需要说明的是,某些病毒感染的是一种操作系统,而本身是在另一种操作系统中运行。 感染MS Office文件的病毒 为感染MS Office对象的病毒命名时使用的一组前缀(为被此类病毒感染的宏语言): •WM——Word Basic (MS Word 6.0-7.0); •XM——VBA3 (MS Excel 5.0-7.0); •W97M——VBA5 (MS Word 8.0)、 VBA6 (MS Word 9.0); •X97M——VBA5 (MS Excel 8.0)、 VBA6 (MS Excel 9.0); •A97M——MS Access'97/2000数据库; •PP97M——MS PowerPoint演示文件; •O97M——VBA5 (MS Office'97)、VBA6 (MS Office'2000),病毒感染多个MS Office组件的文件。 代表编写语言的前缀 以HLL开始的这一组前缀用于命名使用高级编程语言编写的病毒,包括C、C++、Pascal、Basic等等。使用的标志代表运行基本算法: •HLLW——蠕虫; •HLLM——邮箱蠕虫; •HLLO——改写受害软件代码的病毒; •HLLP——寄生病毒; •HLLC——伴侣病毒。 属于语言前缀的还有: •Java——针对Java虚拟机的病毒。 木马程序 Trojan——各种木马的总名称。大多数情况下此组前缀与前缀Trojan共同使用。 •PWS——盗密码木马; •Backdoor——具有RAT功能(Remote Administration Tool——远程控制工具)功能的木马; •IRC——使用Internet Relayed Chat channels环境运行的木马; •DownLoader——暗中从互联网加载各种恶意文件的木马; •MulDrop——暗中加载病毒体内包含的各种恶意文件的木马; •Proxy——供不法分子利用被感染计算机匿名上网的木马; •StartPage(同义前缀:Seeker)——偷换浏览器首页地址的木马; •Click——将用户在浏览器的搜索定向到特定网站的木马; •KeyLogger——间谍木马;监视并记录键盘输入;定期向不法分子发送收集到的信息; •AVKill——中断反病毒软件、防火墙等软件运行并能将其从磁盘删除的木马; •KillFiles、KillDisk、DiskEraser——删除一定数量文件(一定目录中的文件、符合通配符的文件、磁盘所有文件等等); •DelWin——删除操作系统(Windows)运行所必需的文件; •FormatC——将C盘格式化:(同义前缀:FormatAll——将几个或所有磁盘格式化); •KillMBR——损坏或删除主引导扇区(MBR)内容; •KillCMOS——损坏或删除CMOS内容。 利用漏洞进攻的手段 •Exploit——利用某些操作系统或应用的已知漏洞将恶意代码、病毒植入系统或执行其他非法操作的手段。 网络进攻手段 •Nuke——用于向操作系统某些已知漏洞发动进攻,目的是导致被进攻系统出错,中断运行; •DDoS——代理软件,用于组织分布式拒绝服务攻击(Distributed Denial Of Service); •FDOS(同义前缀:Flooder)—— Flooder Denial Of Service——用于在网络中实现各种恶意操作的软件,进攻原则基本上都是组织分布式拒绝服务攻击;与DDoS的不同之处在于,FDOS软件不是利用处于不同计算机的众多代理向一个目标发动进攻,而是独立的自行实施其功能的软件。 脚本病毒 使用不同脚本语言的病毒的前缀: •VBS——Visual Basic Script; •JS——Java Script; •Wscript——Visual Basic Script和/或Java Script; •Perl——Perl; •PHP——PHP; •BAT——OS MS-DOS命令解释器语言。 恶意软件 属于其他恶意软件而非病毒的对象的前缀: •Adware——广告程序; •Dialer——拨号器(将调制解调器信号重定向到预先设定的付费号码或付费资源); •Joke——恶作剧程序; •Program——风险程序(riskware); •Tool——黑客工具(hacktool)。 其他 前缀generic用于另一标志编程环境和方法的前缀之后,用于标识此类病毒的典型代表。采用这种前缀的病毒没有任何独有特征(如文本行、特殊效果等等),因此无法根据特征给出相应的名称。 之前最简单的无特征病毒的命名使用的前缀是带有不同修饰符的Silly。 后缀 后缀用于命名某些特殊的对象: •generator——此对象不是病毒,而是病毒生成器; •based——此病毒式利用这一病毒生成器生成或是这一病毒的变体。两种情况下这一类型的名称都是种类名称,可以用于标志成百上千的病毒; •dropper——此对象不是病毒,而是病毒的安装程序。 |