如何解读瑞星的病毒名
增加了新引擎后,瑞星的病毒名发生了变化,我们可以从这些病毒名中看到后台所使用的引擎或技术。
首先,传统的瑞星病毒名风格均被保留。瑞星有很多付费用户,各种报表展示功能均和病毒名相关,为了兼容之前的产品,V16之前的病毒名均被保留。
这里主要介绍下新风格的病毒名,新风格的病毒名由三部分组成,格式为:
恶意软件主类型.
家族名!
特征号第一个“.”之前的关键字为恶意软件主类型,目前有:
Malware 恶意软件,通常在无法确定主类型时选择,常用于命名启发规则
Trojan 木马
Backdoor 后门
Worm 蠕虫
Rootkit Rootkit
HackTool 黑客工具或黑客工具产生的代码
Exploit 漏洞利用
Adware 广告程序
Stealer 偷盗软件
Spammer 分发垃圾邮件的软件
Spyware 间谍软件
Virus 计算机病毒
Joke 玩笑程序
Junk 病毒僵尸
PUA 潜在的不安全应用,常用于命名启发规则以及一些灰色软件
Downloader 下载器
Dropper 释放器
Rogue 流氓软件
Payment 恶意扣费软件(移动平台专属)
Privacy 隐私窃取软件(移动平台专属)
Remote 远程控制软件(移动平台专属)
Spread 恶意传播软件(移动平台专属)
Expense 资费消耗软件(移动平台专属)
System 系统破坏软件(移动平台专属)
Fraud 诱骗欺诈软件(移动平台专属)
移动平台的主类型是《移动互联网恶意代码描述规范》的,但有少许区别。
主类型后到“!”之前,均为家族名,可以是任意的字符。
例如:
Trojan.
QQPass!
1.6634 表明这是一个QQPass家族的木马,它对应的特征号为1.6634
这样的病毒名较瑞星传统风格的病毒名更加简洁,由于病毒名中天然带有特征号,工程师定位误报也更加容易。
下面讲一下特征号。
特征号一定程度上代表了一种变种,它由两部分组成:区号和标识号
区号:区号用于区分独立的引擎,目前区号和引擎的对应关系为:
1 基础引擎
5 决策引擎
6 基因引擎
标识号:一个随机数字,与瑞星内部的特征数据库相关。
知道了瑞星病毒名的含义,就可以对比下几个引擎的报毒能力了。报毒优先顺序为:基础引擎 优先于 基因引擎 优先于 决策引擎,前两个都可以报出病毒家族来,而决策引擎一般给的结果为Malware.RDM.XX!5.XX这种分类形式的名字。
