本帖最后由 accp.taotao 于 2012-2-13 11:26 编辑
| Microsoft 恶意软件保护中心的命名标准 MMPC 命名标准是来自Computer Antivirus Research Organization (CARO) Malware Naming Scheme、 最初发表于 1991 年和 2002 年修订。大多数安全供应商使用命名约定基于CARO方案,有少许变化,虽然家庭和同样的威胁的变量名称可以不同供应商之间。
MMPC所使用的命名标准可以包含某些或所有以下组件:
类型指示的主要功能或威胁的意图。MMPC将分配到一个基于多项因素的几个几十个不同类型的每个个别的威胁,包括威胁的利差和它的设计功能。介绍当前使用的MMPC的不同类型在这里.
平台指示操作的环境威胁而设计运行和传播。为最大的威胁,在本报告所述,在平台列为"Win32" Win32 API使用的 32 位和 64 位版本的Windows桌面和服务器操作系统。平台可以包括编程语言和格式的文件,在操作系统之外。描述当前使用的MMPC的平台在这里.
团体的紧密相关的威胁被组织成家庭,其中指定唯一的名称以区别于其他人。家族名称通常不相关的任何恶意软件作者已选择要调用的威胁 ;研究人员使用多种技术为名称的新家庭,如引用和修改的恶意软件的文件中找到的字母字符的字符串。安全供应商通常尝试采用所使用的名称的第一个供应商积极找出一个新的家庭,虽然有时不同供应商使用的相同的威胁,两个或多个供应商独立地发现了一个新的家庭时,会发生完全不同的名称。
恶意软件创建者通常会发布一个家庭,为多个变体通常为了避免检测的安全软件。发现-通过 Z,然后通过 AZ,机管局然后通过 BZ,广管局顺序分配等等的字母由指定的变种。指定"gen"的变型公告指示为家庭而不是作为特定变型的通用特征码检测到威胁。变型提供意见或其他信息后出现的任何额外字符。请务必注意并非所有恶意软件有需要其他后缀。当前使用的 MMPC 的后缀都讨论了在这里.
恶意软件命名的详细信息
操作系统 | | AndroidOS | Android操作系统 | | DOS | MS-DOS平台 | | EPOC | Psion设备 | | FreeBSD | FreeBSD平台 | | iPhoneOS | iPhone操作系统 | | Linux | Linux平台 | | MacOS | MAC 9.x平台或更早版本 | | MacOS_X | MacOS X或更高版本 | | OS2 | OS2平台 | | Palm | Palm操作系统 | | Solaris | System V-based Unix平台 | | SunOS | 4.1.3 Unix平台或更低 | | SymbOS | Symbian操作系统 | | Unix | 一般的Unix平台 | | Win16 | Win16 (3.1)平台 | | Win2K | Windows 2000平台 | | Win32 | Windows 32-bit平台 | | Win64 | Windows 64- | | Win95 | Windows 95, 98和ME平台 | | Win98 | 只有Windows 98平台 | | WinCE | Windows CE平台 | | WinNT | Windows NT平台 |
脚本语言 | | ABAP | Advanced Business Application Programming的脚本 | | ALisp | ALisp脚本 | | AmiPro | AmiPro脚本 | | ANSI | American National Standards Institute的脚本 | | AppleScript | compiled Apple脚本 | | ASM | Assembly的脚本 | | ASP | Active Server Pages脚本 | | AutoIt | AutoIT脚本 | | BAS | Basic的脚本 | | BAT | BAT的脚本 | | CorelScript | Corelscript脚本 | | HTA | HTML Application的脚本 | | HTML | HyperText Markup Language脚本 | | INF | Install脚本 | | IRC | mIRC/pIRCmIRC/脚本 | | Java | Java的二进制文件 (类) | | JS | Javascript脚本 | | LOGO | LOGO的脚本 | | MPB | MapBasic脚本 | | MSH | Monad shell 脚本 | | MSIL | .Net中间语言脚本 | | Perl | Perl脚本 | | PHP | Hypertext Preprocessor的脚本 | | Python | Python脚本 | | SAP | SAP平台脚本 | | SH | Shell脚本 | | VBA | Visual Basic for Applications脚本 | | VBS | Visual Basic脚本 | | WinBAT | Winbatch脚本 | | WinHlp | Windows Help脚本 | | WinREG | Windows注册表脚本 |
宏 | | A97M | Access 97, 2000, XP, 2003, 2007,和 2010年的宏 | | HE | macro scripting | | O97M | Office 97, 2000, XP, 2003, 2007,和 2010年的宏-那些会影响 Word、 Excel、 Powerpoint | | OpenOM | OpenOffice macros | | P98M | Project 98, 2000, XP, 2003, 2007,和 2010年的宏 | | PP97M | PowerPoint 97, 2000, XP, 2003, 2007,和 2010年的宏 | | V5M | Visio5宏 | | W1M | Word1Macro | | W2M | Word2Macro | | W97M | Word 97, 2000, XP, 2003, 2007,和 2010年的宏 | | WM | Word 95宏 | | X97M | Excel 97, 2000, XP, 2003, 2007,和 2010年的宏 | | XF | Excel公式 | | XM | Excel 95宏 |
其他文件类型 | | ActiveX | ActiveX控件 | | ASX | Windows Media .asf文件的XML图元文件 | | DOS32 | Advanced DOS Extender文件 | | HC | HyperCard Apple脚本 | | MIME | MIME数据包 | | Netware | Novell Netware文件 | | QT | Quicktime文件 | | SB | StarBasic (Staroffice XML)文件 | | SWF | Shockwave Flash文件 | | TSQL | MS SQL服务器文件 | | VMSS | 虚拟机暂停状态文件 | | XML | XML文件 |
其他后缀 | | .dam | 损坏的恶意软件 | | .dll | 恶意软件的Dynamic Link Library组件 | | .dr | 恶意软件的滴管组件 | | .gen | 检测到使用泛型签名的恶意软件 | | .kit | 病毒的构造函数 | | .ldr | 恶意软件程序加载程序组件 | | .pak | 压缩的恶意软件 | | .plugin | 插件组件 | | .remnants | 遗留物病毒 | | .worm | 蠕虫病毒的恶意软件的组件 | | !rootkit | rootkit 的恶意软件的组件 | | @m | 蠕虫病毒邮件程序 | | @mm | 大规模邮件蠕虫病毒 |
|
GlossaryA B C D E F G H I J K L M N O P Q R S T U V W X Y Z
AActiveX Control
Microsoft Windows可以用来创建和分发小的应用程序,通过Internet Explorer的软件组件。ActiveX controls可以开发和软件用于执行函数,否则不能使用Internet Explorer的正常功能。ActiveX controls,可用于执行多种功能,包括下载和运行的程序,因为在他们发现的安全漏洞可能的恶意软件利用。此外,网络罪犯还可以开发自己的ActiveX controls,可以做损害到计算机中,如果用户访问包含恶意ActiveX control的网页.
Adware
显示广告的程序。虽然一些adware通过补贴程序或服务可以是有益的其他adware programs可能显示广告没有足够的同意。
Alert Level
alert level分配给特定的恶意软件的分析师添加检测时。它基于计算,考虑到传播并造成损害的潜在恶意软件的能力。这里介绍不同的alert levels:
Alias
一种替代检测特定恶意软件。一般指由其他防病毒供应商 ; 同一恶意软件检测但是,它也可能引用相同的恶意软件的一种替代Microsoft检测。流氓软件,这可能会请参阅使用其假的防病毒程序的名称。
API
代表"Application Programming Interface"。一组例程,应用程序使用较低级别的服务接口。APIs 允许标准访问低级的编程功能,需要理解为每个的硬件或服务所需的低级别编程中分离高级别的程序。
Authenticated user
指的是用户身份登录的使用正确的凭据,网络内的任意位置。
Authentication bypass
一个漏洞,恶意的人可以绕过某些身份验证机制的应用程序,因而有可能获得没有适当的凭据的应用程序。
BBackdoor Trojan
一种特洛伊木马,为攻击者提供了远程未经授权的访问和控制感染病毒的计算机类型。Bots是一个子类别的backdoor trojans(请参见botnet).
Behavior
一种类型的签名创建基于某些文件behaviors往往与恶意活动。
Bot
是bot网络 (botnet) 的一部分的计算机上安装恶意程序。Bots他们往往控制通过IRC从一个集中的位置 (尽管存在其它型号的指挥和控制)。请参阅botnet.
Botnet
一组执行命令,指示"command and control"计算机控制的计算机。在"command and control"的计算机可以发出命令直接 (通常通过Internet Relay Chat,或IRC) 或通过使用分散的机制,peer-to-peer(P2P) 网络一样。
Browser Helper Object
DLL文件充当一个插件的Internet ExplorerBrowser Helper Object或BHO 。在浏览器中,如一个工具栏, BHO可能有可见的存在。相应的CLSID被分配给每个BHO注册表 ; 在"Browser Helper Objects"子项下删除的CLSID关键阻止加载BHO ...
Browser Modifier
更改浏览器的设置,例如,主页上,没有足够的同意的程序。此外包括browser hijackers.
Brute Force
一种类型的攻击,攻击者试图通过猜测正确的凭据 ; 集获得系统访问权限这通常是使用应用程序或一种算法以自动方式。
Buffer overflow
在其中写入buffer的数据超过当前容量的buffer,从而覆盖相邻的内存的应用程序中的错误。因为内存是被覆盖,这可能会导致不可靠的程序行为,并且在某些情况下,允许任意代码运行。
CCAPTCHA
代表"Completely Automated Public Turing test to tell Computers and Humans Apart"。CAPTCHA是注定容易解决人类,其余太难经济上解决由计算机的一个挑战。CAPTCHA广泛看到网站上的一个示例是字母和数字的扭曲的图像。用户必须解释该图像并键入的响应。
Cavity Infection
cavity-infecting virus是通过将其代码插入到空间不出现在目标的主机文件中要使用的文件感染的病毒。这种方法,它能够感染文件,而无需增加受影响的文件大小,因此是不太可能通过受影响的用户应注意。通过寻找似乎是在目标的主机文件中,未使用的空间和插入自己的这种空间的代码,(相对于其他寄生虫感染) 腔感染缩短主机文件结构 (主要是该文件的大小)、 修改,从而可避免嫌疑。这种病毒感染的文件,方法与寄生虫感染一般,一样是在野外今天比过去不太常见。通过无意中覆盖空间,都在使用中,尝试会让他们感染时感染病毒,与其他寄生文件感染者,一样的腔挽回可能会损坏文件。
Clean
从受感染的计算机中删除恶意软件或潜在有害的软件。单一的清洗可以涉及多个disinfections.
Clean File
决心既不是恶意的也不是可能有害的文件。
Cookie
HTTP cookie,也称为跟踪cookie是一段文本被访问的服务器发送到浏览器访问。从此以后,每次浏览器再次访问该服务器,该特定的cookie发送回来,"识别"在浏览器和其过去的行为方式。Cookies跟踪的浏览器的经常使用在线购物网站 (,因此潜在的用户) 的购物习惯和更好地建议项目的用户也有兴趣购买。取决于哪个服务器所属的cookie , cookie可能包含敏感信息。但是, cookies可能读 (和他们"偷走"中存储的信息) 的恶意软件。
Cross-site Request Forgery (CSRF or XSRF)
网站利用漏洞的攻击者未经授权的命令执行的指导下一个网站攻击者其实是受信任的用户。它涉及到网站依赖于用户的凭据,并在其中攻击者利用这些凭据的一个网站的信任。
Cross-site Scripting
其中,攻击者插入恶意HTML和JavaScript脆弱的网页,常常努力分发恶意软件,或从本网站或其访客窃取敏感信息的一种攻击技术。尽管名称,cross-site scripting (XSS)并不一定涉及多个网站。cross-site scripting的持久性,涉及到将恶意代码插入到一个 web 应用程序,从而导致大量的来访者为显示代码所使用的数据库。
Cryptor
一种工具,可用于,合法地,或非法,防止一个应用程序正在实施反向工程或以其它方式进行分析。这些工具使用加密来进行模糊处理的应用程序,内容通常为避免检测和阻碍分析的目的。
Cybersquatting
注册、 贩卖,或从属于其他人的商标的商誉获利不良信用意图使用域名的行为。也称为"typosquatting".
DDDoS
Distributed Denial of Service — — 代表请参阅Denial of Service。排气目标计算机,并导致它无法响应,可能需要相当多的资源。经常使用多台计算机执行这些类型的恶意攻击,并增加成功的攻击的机会。例如,这可以发生时受到危害的电脑,如那些组成botnet的一系列征用并下令反复在较小的时间段内访问目标网络或服务器。
Definition
一组可用于识别恶意软件使用防病毒或反间谍软件产品的signatures。其他供应商可以定义 DAT 文件、 图案文件、 标识文件或防病毒数据库作为参考。
Dialer
使未经授权的电话的程序。这些调用可能被控在溢价率和吸引用户意外高成本。
Disinfect
若要删除恶意软件或潜在有害的软件从一台计算机,或恢复到受感染的程序的功能。比较Clean.
Domain authentication
操作的用户是检查和验证,他正试图访问的特定域的成员。
DoS
Denial of Service代表。当目标计算机的资源故意用完,有效地压倒性的计算机,从而导致无法响应或功能为其预期的用户时发生的情况。有许多不同类型的攻击,可能用来造成拒绝服务情况,利用不同类型的洪水或格式不正确的网络流量。
Double-free Condition
当释放内存以同一地址上两次之前重新使用了该内存的程序时发生。这可以导致修改某些内存位置,并因此不可预知的程序行为,并在某些情况下可能会使攻击者能够获得对该程序的控制。
Downloader
一种特洛伊木马程序来下载通常为其他恶意软件,到计算机上检测到的其他文件类型。Downloader需要连接到远程主机下载文件,相比Dropper,其中已包含它的恶意软件程序包中的文件。请参阅Trojan Downloader/Dropper.
Drive-by Download
从互联网,是指非故意下载的某些程序。这可能是因为缺乏用户了解 (例如,同意EULAs 不通过他们阅读的情况下) 或某些程序按照程序开发人员的设计自动化的下载。在野外,观察利用某些浏览器漏洞执行任意文件的驱动器的下载恶意软件。
Dropper
一种特洛伊木马,滴眼液通常为其他恶意软件,到计算机上检测到的其他文件类型。要删除的文件是作为的滴管包,相比Downloader,需要连接到互联网下载的文件的一部分。请参阅Trojan Downloader/Dropper.
EEICAR
"European Institute for Computer Antivirus Research"的首字母缩写。EICAR.COM是一个用于查看是否安装了防病毒软件的测试文件和正常工作。EICAR有关的其他信息,请访问EICAR website。
Encryption
Encryption是转化为无法读取数据的可读数据为保密的目的的方法。一旦encrypted,这类数据不能被解释 (无论通过人类或机器) 直到它就decrypted。使用的encryption algorithm和秘密的值称为 '键' 执行Encryption。Encrypted数据通常不能decrypted没有秘密的关键的知识或大量资源。恶意软件可能使用encryption来进行模糊处理其代码 (使其代码无法读取),因此希望能阻碍其的检测和删除从受影响的计算机。使用恶意软件的常见和简单encryption技术是XORing,在其中Exclusive Or (XOR)计算操作应用于每位据到给定的键。恶意软件可以使用cryptors来encrypt他们的代码。
Exploit
尝试利用中的应用程序或操作系统的漏洞的恶意代码。
FFirewall
程序或设备,负责监察及规管两个点,如一台计算机和网络服务器或到另一台服务器之间的通信。
Form grabbing
窗体抓住的是 web 浏览器拦截的 web 窗体的数据窃取身份验证信息,或更改 web 内容呈现给用户,意图的 Api 的挂钩。
GGeneric
一种能够检测大量不同的恶意软件样本,从一个特定的家庭,或特定类型的签名。
HHeap overflow
一种buffer overflow的溢出发生在堆中的数据区域。动态分配内存堆中 ;因此成功导致堆溢出,则可能会覆盖内部结构,例如指针。
Heuristics
工具或增强了识别某些能力的技术和潜在常用,代码模式。这很有用,例如,制作generic检测为恶意软件家族。
Hijacking
存在一个漏洞,在其中一个通信通道交由攻击者 ;例如,当攻击者获得对用户的浏览会话的访问。
Hoax
假想的恶意软件的用户发出警告的电子邮件 (即,现实中不存在的)。Hoaxes倾向于采用相当标准的方式 — — 他们通常都写在高度的技术和情绪化的语言,通常描述极具破坏性的、 不可逆的有效载荷 (这可能是物理上不可能)。Hoaxes似乎也常常引用声称合法性的行业专家,他们通常会询问用户尽可能多的人转发邮件。
Hosts file
一个文件,将主机名映射到 IP 地址的Hosts file。它由一台计算机用于解决什么要去当用户尝试去某个 URL 的 IP 地址。虽然可以完成此操作,用于合法用途,如阻止非授权的网站,在企业环境中,也可以编辑Hosts file为恶意目的。某些恶意软件编辑Hosts file,以便当用户尝试访问某合法网站,浏览器,而是重定向到恶意软件的网站。
IIFrames
短的inline frame, iFrame是另一个HTML document中嵌入HTML document。因为iFrame链接到另一个网页,它可用于通过网络罪犯将恶意HTML内容放到非恶意的HTML页,例如在一个JavaScript的公告,其下载并安装间谍软件,这放在受信任的网站的形式。
Improper authentication
当应用程序不会得到充分验证用户是谁,他说他是时发生。
Improper authorization
当应用程序不充分验证的权限或用户的权限时他会尝试访问资源或执行某些操作时发生。
Improper error handling
当应用程序不能正确处理在执行 ; 中遇到错误时出现这包括返回到失败,执行意外的动作,信息披露的等等错误,因为该应用程序的应用程序。
Improper input validation
未正确验证或杀毒输入到窗体或窗体的应用程序不适合时发生正确 ; 处理这是一个潜在的漏洞,如果不正确验证允许发生的意外操作。
In-the-wild
恶意软件检测到的当前活动计算机在连接到互联网,为那些只局限于内部测试网络、 恶意软件研究实验室或恶意软件示例列表。
Incorrect Detection
在其中一个合法的程序可能会被错误地列为恶意软件或间谍软件检测的一种类型。如果你想报告incorrect detection,您可以使用不正确的检测报告窗体,或者你可以提交样本-请确保指明你相信提交应不会检测为恶意软件使用复选框和注释框中添加备注。
Infection
由一种病毒的插入或将它的代码添加到文件中,从而使要传播病毒代码的文件的行为。
Information disclosure
一个漏洞的信息是可用的通常是无意,应用程序所做,用户向其信息不应提供,或在其中的信息并不相关的情况。
Insufficient bounds
这可能会导致buffer overflow; 一个条件当容器边界太小被写入的数据时,将发生这种情况。
Insufficient validation
在其中写入到一个容器的数据类型不能正确检查,因此可能会导致错误的程序中的条件。
Integer overflow
时发生一个整数值,就会增加应用程序直到它变成值太大,以适应当前的表示 ;整数值用于确定应用程序的下一步、 存储数据,或用于计算某处地点在内存中时,这可能是一个问题。
JJoke Program
一个程序,假装做一些恶意,但实际上不会任何有害物质 (例如,假装删除文件或设置格式的磁盘)。
KKill bit
在注册表中的ActiveX控件的Compatibility Flags DWORD值的特定值,设置时,手段控制不再由调用Internet Explorer在所有除非在Internet Explorer中启用"Initialize and script ActiveX controls not marked as safe"选项.
LLeast-privilege User Account (LUA)
通常在运行具有最低特权的用户帐户。另请参阅:User Account Control.
MMacro Virus
作为一个应用程序 (如Microsoft Word或Excel) 宏病毒的一种类型。通过复制其自身作为该文件,确保在打开文件时,病毒运行宏,宏病毒感染文件。
Malformed input
一种类型的输入的格式不正确 ;即,它不是预期的格式,或包含无效数据。
Malware
恶意软件或潜在有害的软件的安装没有足够的用户同意。
Malware Creation Tool
一种malware creation tool是一个程序,用于生成恶意软件的攻击者。这种程序可以自动生成根据攻击者提供规范的恶意软件文件。
Man-in-the-middle (MITM) attack
窗体的窃听的攻击者定位自己比喻两个缔约方的中间。这些缔约方有根据的假设他们都互相进行通信时事实上,攻击者中继邮件从一方到另一不知情的情况下。这使攻击者对操作或收集消息,她认为合适的机会。
Memory Reallocation
内存重用,覆盖以前的数据写入到它使用 ; 前一情况如果新的数据是意外,这可能会导致错误的程序中。
Memory Resident
如"memory resident"如果它继续运行,它在内存中占的空间不会使用释放由另一个程序,被称为一种威胁。memory-resident threat仍然存在,在内存中,并通常不能重新启动计算机,除非终止。
Monitoring Software
监视活动,通常通过击键或屏幕图像捕获的商用软件。它还可能包括网络嗅探软件。
Mutex
代表Mutual Exclusion Object,一个编程的对象,可能会创建由象徵它当前正在运行计算机中的恶意软件。这可以用作感染 'marker' 为了防止恶意软件的多个实例运行在受感染的计算机,从而可能使人怀疑。
NNetwork Packet
数据单位的结转的网络 ;它通常有两个部分 — — 控制和有效载荷 — — 前者用以确定的后者传递的方式。
Non-persistent XSS
一种类型的cross-site scripting的服务器正确清理,浏览器呈现的基于客户端的输入,某些字符,并将其呈现回的 HTTP 响应。
PPacker
允许用户将包或包文件的程序。这可用于由恶意软件作者进行模糊处理恶意软件文件的结构,从而避免检测,作为包装单个文件在不同的包中使用不同的封隔器的结果。
Password Stealer
password stealer (PWS)是专门用来传输个人信息例如,用户名和密码的恶意软件。PWS往往在与一个攻击者发送击键和/或屏幕截图的键盘记录软件一起工作。
Payload
恶意软件的目的 (在的情况下病毒和蠕虫) 传播以外。为其创建的恶意软件所进行的操作。这可以包括但不是局限于,下载文件、 更改计算机设置、 显示邮件、 记录击键,等等。
Persistent XSS
类型的恶意脚本存储在服务器中和呈现时的应用程序称为cross-site scripting或在其中承载的网页被浏览到。
Phishing
诱骗泄漏个人或财务信息的在线互联网用户的身份信息窃取的一种方法。Phishers使用假网站或模仿受信任的企业和品牌来窃取personally identifiable information (PII),如用户名、 密码、 信用卡号和身份证号码的欺骗性电子邮件。
Pipe
方便了到另一个进程的输入饲喂的概念频道。
Polymorphic
polymorphic virus是一种病毒,就会发生变异及其结构,避免由防病毒程序的检测。它可以通过更改变量或其代码中的变量,而不更改其整体的算法通常突然。
Potentially Unwanted Software
引起用户的注意审查的可能有害的行为与程序。这种行为可能会影响用户的隐私、 安全或计算体验。
Privilege Elevation
用户是能够执行任务,他以登录的凭据的范围以外的漏洞。
Proof-of-Concept Code
Proof-of-Code (PoC)是攻击的证明的特定方法的可行性攻击的开发的代码。这可以包括说明如何可以利用特定的软件漏洞的攻击,创建的代码,或甚至恶意软件创建来说明如何可以利用特定平台,或受感染的文件格式。
Proxy Server
proxy server是服务器的方便了客户端的名义给其他服务器请求的类型。proxy server可以配置客户端的请求或服务器的响应来改变。Proxy servers可以用于筛选内容,频繁请求的缓存中存储的内容、 匿名客户端的请求的来源,等等。
RRansomware
Ransomware是一种malware,以防止使用计算机或访问的数据类型它包含直到自付一定金额,远程攻击者 ("ransom")。ransomware通常安装的计算机显示屏幕,其中包含如何支付"ransom"的信息。用户通常无法访问超出屏幕计算机上的任何内容。
Reinfection
当计算机成为感染后有先前已清洗或消毒。当用户不完全更新计算机的反恶意软件保护在消毒过程中重复使用模式时,通常会发生Reinfection。
Remote Code Execution (RCE)
在其中,攻击者能够执行任意代码,而无需在目标系统的物理访问的情况。
Remote Control Software
从远程位置提供对计算机的访问权限的程序。这些程序通常安装的计算机所有者或管理员,并只存在如果意外的风险。
Remote Procedure Call (RPC)
一种进程间通信机制,使数据交换和居住在不同的进程 ; 功能调用这一过程可以在同一计算机上、 在本地网络上,或在互联网上。
Resident
恶意软件是resident,如果它不断地在计算机中运行。恶意软件可能会使本身,或者本身驻地所做更改的计算机,自动的副本设置它在计算机启动时运行。
Rogue Security Software
软件,似乎是有益的从安全的角度看,但它提供了有限的或不安全的功能,生成大量的错误或误导性的警报,或它可能会试图在社会上工程师用户到参与欺诈性的交易。如果你是想确认如果一个程序是一个rogue,则可以向MMPC分析提交样本。
Rootkit
其主要目的是执行某些功能不能方便地检测到或撤消的系统管理员,如隐藏本身或其他恶意软件的程序。
SScript (malware)
一种使用scripting language编写的恶意软件。常见的scripting language形式包括JavaScript、 HTML和Visual Basic.
Security Bypass
用户是能够绕过安全措施的应用程序中的漏洞。
Sender ID Framework
Internet Engineering Task Force (IETF) protocol开发通过驱动器用户到网络钓鱼网站的典型战术的身份验证来检测电子欺骗电子邮件和伪造的电子邮件和下载恶意软件。
Settings Modifier
更改计算机设置或用户不知情的情况下的程序。
Shell
用于将传递到操作系统的命令,命令解释器。
Shellcode
用作有效载荷,当软件漏洞代码。利用漏洞可能导致攻击者启动命令shell,从中他或她可以控制电脑的妥协,因此词"shellcode".
Signature
signature是一组可以识别恶意软件的特征。防病毒和反间谍软件产品用于Signatures确定文件是否恶意或不会。
Social Engineering
一种技术,通过利用人类安全漏洞口哨的安全预防措施。Social engineering scams可以在线 (例如,接收电子邮件,要求您单击上依恋,其实恶意软件) 和脱机 (例如,从有人冒充从您的信用卡公司的一名代表接收电话呼叫。无论选择的方法,social engineering攻击的目的仍然相同-获取目标的用户执行攻击者选择的操作。
Software Bundler
安装其他可能有害的软件,如spyware或adware的程序。捆绑程序的许可协议可能需要这些功能的其他组件。
Spam
大容量未经请求的电子邮件。恶意软件作者可能使用垃圾邮件分发恶意软件,通过将恶意软件附加到邮件中,或者通过发送一条消息,其中包含恶意软件的链接。恶意软件可能也收获的电子邮件地址从被破坏的计算机发送垃圾邮件或可能使用受到危害的电脑来发送spam从。
Spam Run
运行的spam是垃圾邮件发布一轮的术语。它可用于引用相同的服务器或围绕一个共同的定期主题,例如,Valentine's Day spam的spam中的spam,例如,单疗程.
Spammer
spammer是一个trojan发送大量未经请求的电子邮件。它还可能涉及的个人或实体负责发送未经请求的电子邮件。
Spoof
类型的消息 (例如,在一封电子邮件或网页上) 的源位置伪造显示来自受信任的第三方的攻击。例如,恶意软件作者往往将分发恶意软件通过似乎来自合法和受信任的源的电子邮件。
Spoofer
spoofer是一个尝试创建假电子邮件标头的trojan和其他可以伪造的协议。
Spoofing
存在一个漏洞,用户是能够模仿另一个用户或系统 ;网站,此术语适用于当一个网站复制相同的外观和感觉的另一种为了欺骗用户,另一个误区。
Spyware
Spyware检测描述的程序,收集信息,例如网站的用户访问,没有足够的同意。安装可能不突出的通知,或在用户不知情的情况下。 TrojanSpy检测描述了间谍软件功能的特洛伊木马程序。
SQL Injection
在其中,攻击者将特制的Structured Query Language (SQL)语句输入到普通的 web 窗体的技术。如果窗体输入不是筛选和验证在提交到数据库之前,就会执行恶意SQL statement,这可能导致重大损坏或数据丢失。
Stack-based buffer overflow
更常见类型溢出时发生一个程序写入内存地址以外的buffer,通常固定大小的buffer overflow。因此,相邻的堆栈的数据被覆盖,并可能被利用来允许执行任意代码。
Stealth
隐藏的威胁、 文件或程序存在的一种方法。一种形式的stealth涉及重定向请求,或尝试查看文件或进程中的恶意文件或代码,否则为无辜的位置。
TTool
Tool检测软件,可能有正当的目的,但可能会被滥用的恶意软件作者或攻击者使用。Hacktool检测用于有更明确设计与恶意软件作者或记住攻击者的工具。 Virtool检测主要用于恶意软件的组件或执行的恶意软件相关的操作,如rootkits的工具.
Trojan
不能自行传播恶意应用程序。从历史上看,词已被用于引用应用程序合法和显示有用的但在受影响的计算机上执行恶意和非法活动。
Trojan Clicker
trojan clicker是一种特洛伊木马,单击。这可能包括trojans程序通过一个安装程序的对话框单击启动另一个程序的安装,但是,更经常应用到可通过在线广告点击产生的收入,或增加到目标站点的 web 流量的特洛伊木马程序。倾斜 (用于任意数量的不同的原因) 的在线调查,并将合法性的外观添加到站点的主机可能有害的软件,使他们的应用程序似乎更受欢迎,他们其实是比,也可以使用Trojan clickers 。
Trojan Downloader/Dropper
日累计下载这些从远程计算机或直接从自己的代码中包含一份副本放到受感染的计算机中安装其他恶意文件的一种形式。
Trojan Proxy
trojan proxy是特洛伊木马,安装在计算机上的proxy server的类型。可以配置安装了特洛伊木马程序的proxy server,以便由受感染的计算机所做的所有互联网请求通过proxy server到攻击者控制的服务器路由。
Typosquatting
cybersquatting哪里有人注册高访问量的网站,域名除印刷错误 (例如, microsooft.com) 的窗体。也称为cybersquatting.
UUnchecked Buffer
在其中写入buffer的数据没有验证 ; 一个条件读取buffer中的数据时,这可能会导致程序中的错误。
Uninitialized Memory
包含未初始化的值,可能会导致内存空间处于意外状态与它的内存空间是访问或使用。
Uninitialized Pointer
包含未初始化的值,该值可能不指向有效的内存位置,导致应用程序尝试读取或写入从该无效的位置的指针。
Uninitialized Variable
变量未初始化,这可能会导致意外的结果,如果应用程序调用该变量在当时。
Unrestricted upload of a file with a dangerous type
种类型的漏洞的软件允许攻击者上传文件的一个危险的类型,在其中"危险的"是指文件自动处理和执行。
Use After Free
后被释放,或擦除的以前的值 ; 内存被引用的情况这可以导致应用程序失败,意外的行为。
User Account Control
User Account Control(或UAC,以前称为"Least-privilege User Account,"或LUA) 启用、 交互式管理员通常运行具有最少的用户权限,但他们可以 self-elevate 给予明确同意UI的同意执行管理任务。这种管理任务包括安装软件和驱动程序,更改系统范围的设置,查看或更改其他用户帐户,并运行管理工具。
User elevation
在其中用户获得更高的权限比默认分配的过程。
VVirtual Machine
在软件中实现的一台计算机内的计算机。一种virtual machine模拟一个完整的硬件系统,从处理器到网卡,在独立的、 孤立的软件环境中,启用不兼容的操作系统的同时操作。每个操作系统,运行在其自己的独立的软件分区中。
Virus
恶意软件进行复制通常通过感染的计算机中的其他文件时,这些文件会被激活,从而允许执行的恶意代码与繁殖。其他形式的viruses包括boot sector viruses和worms的复制.
Vulnerability
缺陷、 错误或贫穷的编码技术,可能允许攻击者利用它为恶意目的的程序中。
WWildList
恶意软件是用于测试反恶意软件产品的列表。
Worm
worm是一个自蔓延的程序,它可以自动分发自身从一台计算机到另一个。Worms可能传播自己使用的一个或多个下列方法:
- Email programs
通过循环作为附件的电子邮件或通过邮件中的链接,可能会传播worm。在某些情况下,worm创建并发送出包含本身的副本作为附件的电子邮件。在其他情况下,该worm创建并发出电子邮件包含一个链接到网站 ;该链接,然后会导致本身的副本。 - Instant Messaging programs
worm可能蔓延到instant messaging (IM)的应用程序如Windows Live Messenger与AOL Instant Messenger,通常通过发送包含指向链接本身的副本的IM消息。 - File-sharing programs
worm可能传播通过file-sharing或peer-to-peer程序。它通常创建自身的副本的共同的这些程序,下载/上载文件夹与文件的名称取自流行的软件或游戏。这种social engineering技术,使得欲下载冒牌的这种流行的软件或游戏版本的用户转而下载和最终运行worm的副本的可能性加大. - Social networking sites
worm可通过自动将消息发送到的所有用户的联系人,在一个social networking website Facebook和MySpace等传播。邮件通常包含链接本身的副本。 - Network shares
worm可能通过网络共享进行传播和映射驱动器。这些类型的worms可以通过共享文件夹中创建自身的副本而传播。如果这些文件夹是受密码保护,一些worms可能会尝试通过使用常用的用户名称和密码访问共享。 - Removable drives with Autorun enabled
worm可能传播通过如flash驱动器和portable hard disks的可移动驱动器。这些类型的worms被称为autorun worms,因为,除了在removable drives中创建自身的副本,他们也删除了一个文件,通常称为autorun.inf。这个INF文件启用自动运行时访问驱动器,并且启用了Autorunworm副本。Autorun是相同的功能,例如,允许您的CD驱动器自动运行安装文件,当您安装的软件,或当您插入一张音乐CD播放的音乐. - Software vulnerabilities
worm可攻击wormable将传播到其他计算机的某些软件中的漏洞。利用此漏洞worms的例子是Sasser和Blaster的暴发和首次出现在 2008 年, Confickerworm。这些worms利用常用的计算机进行通信 ; 相互的Windows服务中的漏洞因此与受感染的计算机进行通信的清洁计算机运行的风险在于感染本身。
XXML Injection
一种类型的应用程序不妥善化解特殊的XML元素,可能允许攻击者更改XML文件的漏洞。
XSS
请参阅cross-site scripting.
注:本贴命名规则仅且仅以MMPC为准,其它杀软命名规则和本贴有冲突不足为怪。
提供原文(英语)链接,可自行查看。
http://www.microsoft.com/securit ... /MalwareNaming.aspx
http://www.microsoft.com/securit ... pedia/Glossary.aspx
另附:MMPC病毒百科http://www.microsoft.com/securit ... lopedia/Browse.aspx
|
发表于 2012-2-12 20:25:02
楼主
都是拿来主义的……