本帖最后由 Dust-;羅錠 于 2014-7-22 22:18 编辑
Dr.Web病毒命名规则
Dr.Web病毒实验室的专家会在全世界范围收集计算机威胁的样品并进行命名。这些名称根据某些规则而形成并且反映了一种威胁的设计结构或独有的行为特征,易受攻击的对象的种类,分布环境(操作系统和应用程序)和一些其他的功能。知道这些规则可能有助于了解软件和被保护系统的漏洞。在某些情况下这种分类方法是常规的,如某些病毒可以在同一时间拥有多个功能。另外,这些分类方法并不详尽,因为新类型病毒的不断出现使得做出的分类越来越精确。完整并且不断更新的分类情况可以在Dr.Web网站查阅。
一种病毒的完整名称包含几个元素,元素之间使用句号分离。使用完整名称的开头(前缀)和结尾(后缀)的一些元素是标准并且公认的分类方法。下列是Dr.Web使用的一些前缀与后缀的列表。
前缀——一般代表受影响的操作系统
下面所列的前缀用于命名病毒感染某些操作系统的可执行文件
Win – 16位 Windows 3.1 程序
Win95 – 32位 Windows 95/98/Me 程序
WinNT – 32位 Windows NT/2000/XP/Vista 程序
Win32 – 32位 Windows 95/98/Me and NT/2000/XP/Vista 程序
Win32.NET – 运行于安装有 Microsoft .NET Framework 的系统的程序
OS2 – OS/2 程序
Unix – 基于 Unix 的各种系统的程序
Linux – Linux 程序
FreeBSD – FreeBSD 程序
SunOS – SunOS (Solaris) 程序
Android – Android(手机操作系统)程序
Symbian – Symbian OS(手机操作系统) 程序
注:请注意,某些病毒虽然是在一个系统运作,但它们有时甚至可以感染另一种系统的文件
宏病毒前缀
下面是感染MS Office的病毒的前缀列表
WM – Word Basic (MS Word 6.0-7.0)
XM – VBA3 (MS Excel 5.0-7.0)
W97M – VBA5 (MS Word 8.0), VBA6 (MS Word 9.0) (MS Office'97/2000)
X97M – VBA5 (MS Excel 8.0), VBA6 (MS Excel 9.0) (MS Office'97/2000)
A97M – MS Access'97/2000 数据库
PP97M – MS PowerPoint 演示文稿
O97M – VBA5 (MS Office'97), VBA6 (MS Office 2000):这种病毒感染 MS Office 多个组件的文件
StarOffice – 感染 StarOffice 套件文件,受影响的操作系统有Solaris, Microsoft Windows, Linux, Mac OS X
开发语言
以 HLL(High Level Language)开头的组别用于命名使用高级编程语言的病毒,例如:C, C++, Pascal, Basic 或者其他语言。在某些情况下已编译的高级编程语言病毒的代码打包有不同的压缩实用程序
HLLW(High-Level Language Worm)– 蠕虫,不需要任何主机文件来传播的病毒;它们只需要将自身复制到驱动器目录
HLLM(High-Level Language MassMailing Worm)– 邮件蠕虫,使用高级编程语言并且分布广泛病毒的蠕虫程序
HLLO(High-Level Language Overwriting)– 覆盖受害人程序代码的病毒
HLLP(High-Level Language Parasitic)– 寄生病毒,在不致使原始文件损坏的情况下感染可执行文件
HLLC(High-Level Language Companion)– 伴生病毒,采用一种在文件系统中基于文件名操作的感染算法,一般来说,HLLC病毒会重命名原始的可执行文件(或将它移动到另一个文件夹),然后使用原来的可执行文件名并在其所在位置创建病毒副本
Java – 为 Java 虚拟机设计的病毒
脚本病毒
使用不同脚本语言编写的病毒的前缀
VBS – Visual Basic 脚本,Visual Basic Script 的缩写
JS – Java 脚本, Java Script 的缩写
Wscript – Visual Basic 脚本 和/或 Java 脚本
Perl – Perl
PHP – PHP
BAT – MS-DOS 命令解释器
HTML – 使用 HTML 语言编写
高度专业化的恶意软件
以下这一组是为特定的文件制定的具体感染方案,分为3种高度专业化的恶意软件
ACAD – 使用 AutoLisp 编程语言编写的恶意程序
AutoLisp – 使用 AutoLisp 编程语言编写的恶意程序
SWF – 嵌入 Flash 文件中的恶意文件
特洛伊木马
Trojan – 一个对于不同特洛伊木马通用的名字。在多数情况下此前缀与各种特洛伊木马的前缀一起使用(例如:Trojan.DownLoader、Trojan.StartPage 等等)
BackDoor – 后门程序,带有RAT函数(RAT – Remote Administration Tool,远程管理工具)的特洛伊木马
PWS – 密码偷窃木马,password stealing 的缩写
IRC – 使用互联网中继聊天频道的特洛伊木马
DownLoader – 偷偷下载互联网上的不同恶意程序
MulDrop – 偷偷下载不同的病毒并附在它的身上
Proxy – 通过受感染的计算机允许第三方用户在互联网匿名工作
StartPage – 未经用户授权更换浏览器的主页地址
Click – 将用户的浏览器重定向到某些Web站点
KeyLogger – 记录键盘操作的间谍木马,它可能会将收集到的数据发送给不法分子
AVKill – 终止或删除防病毒程序和防火墙等安全软件
KillFiles, KillDisk, DiskEraser – 删除某些文件(驱动器上的所有文件,某些文件夹里的文件等)
DelWin – 删除 Windows 操作系统的关键文件
FormatC – 格式化驱动器C
FormatAll – 格式化所有驱动器
KillMBR – 破坏或删除主引导记录(MBR)
KillCMOS – 破坏或删除 CMOS 内存
网络攻击工具
Nuke – 攻击某些存在已知的安全漏洞的操作系统,导致受攻击的系统异常关机
DDoS – 用于执行 DDoS 攻击(分布式拒绝服务攻击)的代-理程序
FDoS – 在互联网使用分布式拒绝服务攻击方法执行恶意行为的程序;与DDoS不同的是,当几个不同的计算机上的代-理同时用于攻击一个受害者系统时,一个 FDoS 程序可以作为一个独立的 “自给自足” 程序运作
恶意程序
Adware – 广告程序
Dialer – 拨号程序 (重定向调制解调器到预定义付费的号码或者需要付费的资源)
Joke – 玩笑程序
Program – 有潜在危险的程序 ( 也称riskware )
Tool – 用于黑客攻击的程序 ( 也称hacktool )
杂项
Generic – 另一个前缀描述环境后或者以开发方法命名这种病毒的典型代表时使用此前缀。这种病毒并不拥有任何特征(例如文本字符串,特殊效果等)从而为其分配一些特定名称
Exploit – 利用系统已知的漏洞植入恶意代码或执行未经授权的行为的工具
Silly – 此前缀用于命名简单无特色的并且带有与以前不同的修饰符的病毒
后缀——一般用于命名一些特定的病毒对象
Origin – 当 Origins Tracing 非特征码搜索技术侦测出恶意程序时使用此后缀
generator – 病毒生成器
based – 一个使用特殊生成器开发的或经过修改的病毒。上述两种情况下这种名称的类型都是通用的,并且可以定义数百个和甚至数以千计的病毒
dropper – 并不是病毒,但是会下载并安装指定的病毒 | 
[复制链接]
发表于 2012-11-17 15:32:26
楼主
