如何解读瑞星的病毒名

反病毒测试员

增加了新引擎后，瑞星的病毒名发生了变化，我们可以从这些病毒名中看到后台所使用的引擎或技术。

首先，传统的瑞星病毒名风格均被保留。瑞星有很多付费用户，各种报表展示功能均和病毒名相关，为了兼容之前的产品，V16之前的病毒名均被保留。

这里主要介绍下新风格的病毒名，新风格的病毒名由三部分组成，格式为：

恶意软件主类型. 家族名! 特征号

第一个“.”之前的关键字为恶意软件主类型，目前有：

Malware          恶意软件，通常在无法确定主类型时选择，常用于命名启发规则
Trojan              木马
Backdoor        后门
Worm              蠕虫
Rootkit            Rootkit
HackTool        黑客工具或黑客工具产生的代码
Exploit            漏洞利用
Adware            广告程序
Stealer            偷盗软件
Spammer        分发垃圾邮件的软件
Spyware          间谍软件
Virus                计算机病毒
Joke                玩笑程序
Junk                病毒僵尸
PUA                潜在的不安全应用，常用于命名启发规则以及一些灰色软件
Downloader      下载器
Dropper            释放器
Rogue              流氓软件
Payment          恶意扣费软件（移动平台专属）
Privacy            隐私窃取软件（移动平台专属）
Remote            远程控制软件（移动平台专属）
Spread            恶意传播软件（移动平台专属）
Expense          资费消耗软件（移动平台专属）
System            系统破坏软件（移动平台专属）
Fraud              诱骗欺诈软件（移动平台专属）

移动平台的主类型是《移动互联网恶意代码描述规范》的，但有少许区别。

主类型后到“!”之前，均为家族名，可以是任意的字符。
例如：
    Trojan. QQPass! 1.6634
    表明这是一个QQPass家族的木马，它对应的特征号为1.6634

这样的病毒名较瑞星传统风格的病毒名更加简洁，由于病毒名中天然带有特征号，工程师定位误报也更加容易。


下面讲一下特征号。

特征号一定程度上代表了一种变种，它由两部分组成：区号和标识号

区号：区号用于区分独立的引擎，目前区号和引擎的对应关系为:
1        基础引擎
5        决策引擎
6        基因引擎

标识号：一个随机数字，与瑞星内部的特征数据库相关。

知道了瑞星病毒名的含义，就可以对比下几个引擎的报毒能力了。报毒优先顺序为：基础引擎 优先于 基因引擎 优先于 决策引擎，前两个都可以报出病毒家族来，而决策引擎一般给的结果为Malware.RMD.XX!5.XX这种分类形式的名字。

驭龙

决策引擎一般给的结果为Malware.RMD.XX!5.XX这种分类形式的名字

楼主，是不是打错字了，不是RMD呀，而是RDM呀。

上图

反病毒测试员

驭龙 发表于 2013-11-7 16:03
楼主，是不是打错字了，不是RMD呀，而是RDM呀。

上图

不清楚啊 我是复制过来的

驭龙

反病毒测试员 发表于 2013-11-7 16:09
不清楚啊 我是复制过来的

嗯，我知道你是转帖，是不是官方笔误啊，你看我的图，确实是RDM

反病毒测试员

驭龙 发表于 2013-11-7 16:11
嗯，我知道你是转帖，是不是官方笔误啊，你看我的图，确实是RDM

我也认为应该是笔误

瓜g

Payment          恶意扣费软件（移动平台专属）
Privacy            隐私窃取软件（移动平台专属）
Remote            远程控制软件（移动平台专属）
Spread            恶意传播软件（移动平台专属）
Expense          资费消耗软件（移动平台专属）
System            系统破坏软件（移动平台专属）
Fraud              诱骗欺诈软件（移动平台专属）
还能杀安卓病毒

反病毒测试员

必须的啊 貌似星星在憋大招啊 目测明天星星还会给大家带来惊喜

麦青儿

驭龙 发表于 2013-11-7 16:03
楼主，是不是打错字了，不是RMD呀，而是RDM呀。

上图

原文已更正，多谢驭龙！

sbbdms

麦青儿 发表于 2013-11-7 22:18
原文已更正，多谢驭龙！

弱弱问下。。为何我用基础引擎所不能查杀的样本。。用基因引擎查杀后的报毒名有很多区号是1？？

麦青儿

sbbdms 发表于 2013-11-7 22:23
弱弱问下。。为何我用基础引擎所不能查杀的样本。。用基因引擎查杀后的报毒名有很多区号是1？？

1是基础引擎报啊，这次不但加入了两个新引擎，原来的基础引擎也增强了，6才是基因报的