【转帖】【科普】如何解读瑞星的病毒名

显示全部楼层 · 发表于 2016-11-10 10:18:37

本帖最后由 benpao37 于 2016-11-10 20:32 编辑

（原帖子发表时间为2013年11月7日，所以文中的病毒名介绍可能与现在的有所差异，仅供参考。）

增加了新引擎后，瑞星的病毒名发生了变化，我们可以从这些病毒名中看到后台所使用的引擎或技术。

首先，传统的瑞星病毒名风格均被保留。瑞星有很多付费用户，各种报表展示功能均和病毒名相关，为了兼容之前的产品，V16之前的病毒名均被保留。

这里主要介绍下新风格的病毒名，新风格的病毒名由三部分组成，格式为：

恶意软件主类型. 家族名! 特征号

第一个“.”之前的关键字为恶意软件主类型，目前有：

Malware          恶意软件，通常在无法确定主类型时选择，常用于命名启发规则
Trojan             木马
Backdoor       后门
Worm             蠕虫
Rootkit          Rootkit
HackTool       黑客工具或黑客工具产生的代码
Exploit          漏洞利用
Adware          广告程序
Stealer          偷盗软件
Spammer       分发垃圾邮件的软件
Spyware       间谍软件
Virus             计算机病毒
Joke                玩笑程序
Junk                病毒僵尸
PUA                潜在的不安全应用，常用于命名启发规则以及一些灰色软件
Downloader 下载器
Dropper          释放器
Rogue             流氓软件
Payment       恶意扣费软件（移动平台专属）
Privacy          隐私窃取软件（移动平台专属）
Remote          远程控制软件（移动平台专属）
Spread          恶意传播软件（移动平台专属）
Expense          资费消耗软件（移动平台专属）
System          系统破坏软件（移动平台专属）
Fraud             诱骗欺诈软件（移动平台专属）

移动平台的主类型是《移动互联网恶意代码描述规范》的，但有少许区别。

主类型后到“!”之前，均为家族名，可以是任意的字符。
例如：
Trojan. QQPass! 1.6634
表明这是一个QQPass家族的木马，它对应的特征号为1.6634

这样的病毒名较瑞星传统风格的病毒名更加简洁，由于病毒名中天然带有特征号，工程师定位误报也更加容易。

下面讲一下特征号。

特征号一定程度上代表了一种变种，它由两部分组成：区号和标识号

区号：区号用于区分独立的引擎，目前区号和引擎的对应关系为:
1       基础引擎
5       决策引擎
6       基因引擎

标识号：一个随机数字，与瑞星内部的特征数据库相关。

知道了瑞星病毒名的含义，就可以对比下几个引擎的报毒能力了。报毒优先顺序为：基础引擎优先于基因引擎优先于决策引擎，前两个都可以报出病毒家族来，而决策引擎一般给的结果为Malware.RDM.XX!5.XX这种分类形式的名字。

（来源：卡卡论坛）

显示全部楼层 · 发表于 2016-11-10 10:21:23

感谢分享学习了

显示全部楼层 · 发表于 2016-11-10 10:35:12

human know it'

显示全部楼层 · 发表于 2016-11-10 11:38:54

pal家族发表于 2016-11-10 10:35
human know it'

Maybe they thought others are the same as them.

BTW: I love your profile photo

显示全部楼层 · 发表于 2016-11-10 11:53:34

I'm a little white, and there are a lot of white like me.

显示全部楼层 · 发表于 2016-11-10 12:07:16

都能别拽英文了？
话说回来，瑞星的新引擎也该快上场了吧？

显示全部楼层 · 发表于 2016-11-10 12:23:49

dg1vg4 发表于 2016-11-10 12:07
都能别拽英文了？
话说回来，瑞星的新引擎也该快上场了吧？

No news

Maybe it will be in a short time

显示全部楼层 · 发表于 2016-11-10 12:29:43

猪头无双发表于 2016-11-10 12:23
No news

Maybe it will be in a short time

I have heard that it will be online soon.

But i don't know whether it is true or they just want to attract attention.

显示全部楼层 · 发表于 2016-11-10 13:49:44

Virus4 发表于 2016-11-10 12:29
I have heard that it will be online soon.

But i don't know whether it is true or they just want ...

Let's wait together, it will come soonner or later.

显示全部楼层 · 发表于 2016-11-10 14:08:16

猪头无双发表于 2016-11-10 13:49
Let's wait together, it will come soonner or later.

now the defense and scaning is not good as many people expected...their progress is so fxxking slow...

BTW. We must be scolded by some people because of something about zhuangbility which makes me really wanna laugh...hahahaha

[瑞星] 【转帖】【科普】如何解读瑞星的病毒名