1   1  /  1  页   跳转

[转载] 病毒命名规范

病毒命名规范

转载自瑞星实习生区
经常看到有朋友问这个是什么病毒,有什么危害诸如此类问题。特将实习生上课的讲义自己再编辑下,便于查阅。
转载请注明:瑞星卡卡论坛 http://bbs.ikaka.com/



病毒命名规范

<病毒名格式>:

病毒名是由以下8个字段组成的,以下为病毒名的各个字段,字段之间使用“.”分隔:

主行为类型.子行为类型.运行平台.宿主文件类型.主名称.主名称变种号.附属名称.附属名称变种号.病毒长度

<主行为类型与病毒子行为类型>

病毒主行为类型与病毒子行为类型存在对应关系,下面将描述这一对应关系:











危害级别是指对病毒所在计算机的危害。
病毒可能包含多个主行为类型,这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的主行为类型。
同样的,病毒也可能包含多个子行为类型,这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的子行为类型。
病毒主行为类型应该有是否显示的属性,用于生成病毒名时隐藏主行为名称。
<运行平台>
运行平台是指病毒运行所依赖的平台,平台可以是操作可以是操作系统也可以是某些支持脚本软件。目前的运行平台有以下几种:
WIN9X 说明:仅可以在MS公司WIN95.98操作系统下运行。
WINNT 说明:仅可以在MS公司WINNT 架构的操作系统下运行
WINXP 说明:仅可以在MS公司WINDOWS XP操作系统下运行
DOS  说明:仅可以在MS公司DOS操作系统下运行
LINUX 说明:仅可以在LINUX 操作系统下运行
Macro 说明:仅可以在支持宏的软件平台下运行
Script说明:仅可以在支持脚本的软件平台下运行
WINCE 说明:仅可以在MS公司WINCE操作系统下运行
Palm  说明:仅可以在Palm操作系统下运行
WIN32 说明:可以在MS公司所有32位的Windows操作系统下运行
运行平台有是否显示的属性
<宿主文件>
宿主文件是指病毒所使用的文件类型,目前的宿主类型有以下几种。
JS ------JavaScript 脚本文件
VBS----- VBScript 脚本文件
IRC----- IRC脚本文件
WinREG---Windows平台下的Reg文件
Ruby ----Ruby脚本文件
HTML ----HTML文件
Java --- JAVA的class (类)文件
COM ---- DOS下的COM文件
exe------DOS下的EXE文件
BOOT---  硬盘或软盘引导区
Word---  MS公司的Word文件
EXcel--  MS公司的EXcel文件
PE-----  PE文件
Python---一种脚本
BAT----- 批处理bat文件
LISP---一种解释语言
<主名称>

病毒的主名称是由分析员根据病毒体的特征字符串,特定行为或者所使用的编译平台来定的,如果无法确定病毒的特征字符串,特定行为或者所使用的编译平台则可以用字符串“Agent”来代替主名称,小于10K大小的文件可以命名为“Samll”
<附属名称>
病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种:
*Client  说明:后门程序的控制端
*KEY_HOOK 说明:用于挂接键盘的模块
*API_HOOK 说明:用于挂接API的模块
*Install  说明:用于安装病毒的模块
*Dll      说明:文件为动态库,并且包含多种功能
*Notifier 说明:发消息给植入木马的master的组件
*Editor  说明:某种病毒的生成器
*(空)  说明:没有附属名称,这条记录是病毒主体记录

<主名称变种号>

如果病毒的主行为类型,行为类型,运行平台,宿主文件类型,主名称均相同,则认为是同一家族的病毒,这是需要变种号来区分不同的病毒记录。变种号为小写字母a-z,如果一位版本号不够用则最多可以扩展三位,如aa,ab,aaa,aab。由系统自动计算,不需要人工输入或选择

<附属名称变种号>

如果病毒的主行为类型,行为类型,运行平台,宿主文件类型,主名称,主名称变种号,附属名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。变种号为小写字母a-z,如果一位版本号不够用则最多可以扩展三位,如aa,ab,aaa,aab。由系统自动计算,不需要人工输入或选择。

<病毒长度>

病毒长度字段只用于主行为类型为感染型(parasite)的病毒,字段的值为数字。当字段值为0时,表示病毒长度是可变的。








用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; TheWorld)
本帖被评分 1 次
最后编辑叶陵君 最后编辑于 2008-08-24 23:40:13
分享到:
gototop
 

回复:病毒命名规范

谢谢分享,欢迎原创一些精品文章实际解决问题文章
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT