计算机病毒的命名规则

shensedelan

鉴于很多网友搞不清杀毒软件扫描的病毒名字是什么意思，现将前期学习到的一本书中计算机病毒的命名规则一段摘抄下来分享给大家。


计算机病毒的命名规则
只要掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断病毒的一些有的特性，网络病毒的命名一般格式为：<病毒前缀>.<病毒名>.<病毒后缀>。
病毒前缀是指一个病毒的种类，它是用来区别病毒的种类分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见木马病毒的前缀是Trojan，蠕虫病毒的前缀是Worm等。
病毒名是指一个病毒的家族特征，是用来区别和标志病毒家族的，如以前著名上网CIH病毒的家族名都是统一恶“CIH”，振荡波蠕虫病毒的家族名是“Sasser”。
病毒后缀是指一个病毒的变种特征，是用来区别某个具体的家族的病毒的某种变种的，一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多，可以采用数字与字母混合来表示变种标志。
下面给出一些常见的病毒名前缀的解释（针对目前使用最多的Windows操作系统）。
（1）系统病毒。
系统病毒的前缀为：Win32、PE、Win95、Win32、W95等。这些病毒共有的特性是可以感染Windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播。如CIH病毒。
（2）蠕虫病毒。
蠕虫病毒的前缀是Worm。这种病毒的共有特性是通过网络或者系统的漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件、阻塞网络的特性，如冲击波（阻塞网络）、小邮差（发带毒邮件）等。
（3）木马病毒、黑客病毒。
木马病毒其前缀是Trojan，黑客病毒前缀名一般为Hack。木马病毒的共同特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄漏用户的信息；黑客病毒则有一个可视的界面，能对用户的电脑进行远控控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型越来越趋向于整合了。一般的木马如QQ消息尾巴木马Trojan.qq3344，还有比较常见的针对网络游戏的木马病毒如Trojan.LMir.PSW.60。另外，病毒名中带有PSW或者PSW之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）。黑客病毒程序如网络枭雄（Hack.Nether.Client）等。
（4）脚本病毒。
脚本病毒的前缀是Script。脚本病毒的共同特性是使用脚本语言编写，通过网页进行传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。
（5）宏病毒。
其实宏病毒也是脚本病毒的一种，由于它的特殊性，因此在这里单独划分为一类。宏病毒的前缀是Macro，第二前缀是Word、word97、Excel、Excel97等。凡是只感染Word97及以前版本Word文档的病毒采用Word97作为第二前缀，格式是Macro.Word97；凡是只感染Word97以后版本Word文档的病毒采用Word作为第二前缀，格式是Macro.word；凡是只感染Excel97及以前版本Excel文档的病毒采用Excel97作为第二前缀，格式是：Macro.Excel97；凡是只感染Excel97以后版本Excel文档的病毒采用Excel作为第二前缀，格式是：Macro.Excel，以此类推。该病毒的共同特征是能感染Office系列文档，然后通过Office文件进行传播，如：著名的美丽莎病毒（Macro.Melissa）。
（6）后门病毒。
后门病毒的前缀是Backdoor。该病毒的共有特征是通过网络传播，给系统打开后门，给用户的电脑带来安全隐患。
（7）病毒种植程序病毒。
这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来新病毒对系统进行破坏。如冰河播种者（Dropper.BingHe2.2C）、MSE射手（Dropper.Worm.Smibag）等。
（8）破坏性程序病毒。
破坏性程序病毒的前缀是Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户的计算机产生破坏。如格式化C盘病毒（Harm.formatC.f）、杀手命令病毒（Harm.Command.Killer）等。
（9）玩笑病毒。
玩笑病毒的前缀是Joke，也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒是，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如女鬼（Joke.Girlghost）病毒。
（10）捆绑机病毒。
捆绑机病毒的前缀是Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看来是一个正常的文件，当用户运行这些捆绑病毒时，会在表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒程序，从而给用户造成危害。如捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。

shensedelan

给大家总结了个图表

病毒类型	前缀
系统病毒	Win32、PE、Win95、Win32、W95
蠕虫病毒	Worm
木马病毒、黑客病毒	Trojan、Hack
脚本病毒	Script、VBS、JS
宏病毒	Macro、第二前缀：Word、word97、Excel、Excel97
后门病毒	Backdoor
病毒种植程序病毒	Dropper
破坏性程序病毒	Harm
玩笑病毒	Joke
捆绑机病毒	Binder

skylinext

学习学习

无奈的C

学习了 支持

zm王子

辛苦辛苦

lxwluke

我电脑上见过Trojan 和win32，ESS扫出来的

dafei5830

确实要好好注意下。 先学习啦

zhq445078388

现在一般所谓黑客病毒被归入Trojan.而hacktool则说明是一些黑客工具 如部分带有攻击能力的端口扫描等

junyouhe

学习学习了

溱湖居士

这么看来，貌似病毒命名是根据病毒前缀来的，而病毒名和病毒后缀则指明了它的作用目标和作用域。