查看: 4617|回复: 24
收起左侧

[分享] 教你看懂火绒的报毒名 神奇的知识又增加了嗷

  [复制链接]
yzsts
发表于 2020-5-28 11:46:33 | 显示全部楼层 |阅读模式
安全软件的报毒想必大家都见过,点击清除病毒后,也会有点担心和疑问:我中了什么毒,这毒有啥危害?想看一眼报毒界 面吧,又是一脸茫然。今天,带工程狮于老师就领大家认识一下火绒的报毒规则,增加一些实(shen)用(qi)的知识。
看懂火绒的报毒名,其实很简单的,无非就是知道两点:“这毒叫啥——病毒家族名”;“这毒做什么的——病毒类型”。
病毒类型很好懂,类似于病毒“干活“的工种,表示不同类型危害,像勒索病毒敲诈赎金、蠕虫病毒无限复制搞破坏、流氓程序做捆绑推广的勾当等等。文章后面会附上目前常见的病毒类型和简单说明,大家课后可以眼熟一下。
那么问题来了,单一的病毒类型,比如勒索病毒只管加密勒索,如何传播出去呢?后门病毒在用户电脑上开了后门后,谁来走这个后门干坏事呢?
病毒们也不傻:单干吃力不讨好,那就狼狈为奸呀。
为了达成不法目的,一个病毒通常由多个类型的病毒模块构成,传播的传播,盗号的盗号,勒索的勒索等等,可谓分工明确干活不累。
这么多病毒模块组成一大家子即一个病毒家族。安全厂商发现一个病毒家族后,会根据病毒作者留下的签名、或者病毒的一些明显特征,为它取一个名字,这就是病毒家族名。比如WannaCry家族,就是根据作者留下的信息取的。
由于安全厂商不同,所以会出现一个病毒家族有不同家族名的现象。当某个家族名传播较为广泛的时候,大家便会约定俗成统一叫法,这也是有利于辨认的。
搞懂病毒类型和病毒家族名后,再来看火绒的报毒方式就很简单了。
我们报毒的主要展示信息就是“病毒类型/病毒家族名”。比如:Backdoor/FakeExtent。Backdoor是病毒类型(后门病毒),FakeExtent是病毒家族名。
要注意的是,火绒会对整个家族中的病毒模块单独报毒,绝不会错过或者含糊其辞。然后,会将危害最严重的病毒类型作为整个病毒家族的类型。比如下图火绒对FakeExtent病毒家族的不同模块的报毒是不一样的,但最终会将该家族定性为后门病毒。
于老师:我再举个栗子!
比如有一家做坏事的三兄弟,大哥负责开锁撬门,二哥在一旁望风,老幺则入室盗窃。警察叔叔抓获后会分别将三人单独记录在案(单独对病毒模块报毒),发现这个犯罪家族有烫头的爱好,就取名为“烫头大盗”(家族名),最后,再根据情节最严重的老幺的行为,将整个犯罪行为定性为入室盗窃(病毒类型)。
这下总明白了吧。了解病毒家族名,我们就能拎清火绒报毒的类型;知道病毒类型,我们就知道了病毒的危害;晓得了病毒危害,也就自然找得到预防方式了。
比如在发现蠕虫这类传播性强的病毒时,除了全盘查杀外,也要检查一下是否存在文件共享,是否有被感染的U盘;或者在家庭、企业有多台机器情况下,一台发现该病毒时,也要扫描一下其他电脑,防止被家族其它病毒模块横向感染……甚至还可以在向我们反馈问题或求助时,能够准确描述病毒情况,帮助工程师快速了解详情。
“当然了,让报毒这件事变得这么清晰、明确,得益于火绒的反病毒引擎,让我们不会以‘恶意威胁’等含糊的名词来描述,做到报毒有依。而这,也恰是所有反病毒引擎该具备的基本工作原则。“于老师表示。
“具体的病毒类型和描述我们的报毒界面就有介绍。附录中我列举一些大家常遇见的病毒类型和简单的描述,大家做好笔记,下次再遇到火绒报毒窗口就不会摸不着头脑了,大家放心大胆的该处理处理,有不懂的随时找我提问。”
附录一:用户常见病毒类型
1、蠕虫病毒:Worm
能无限复制自身,就像小强一样。当发现一个蠕虫病毒的时候,可能就会藏了一窝蠕虫了。这时候就要全盘扫描查杀一下了。
2、感染型病毒:Virus
中了感染型病毒后,会有很多看似“正常”的软件被频繁报毒,包括浏览器、播放器、Office文件等等,不知道的还以为是误报呢。遇到后赶紧全盘查杀了。
3、勒索病毒:Ransom
大家比较熟悉了,做加密文件索要赎金的“敲竹杠”买卖。看到火绒报毒后,说明加密行为被阻止了。如果不幸被加密,也可以联系我们工程师看下是否可以解密,千万不要轻信网上解密方法,以免造成二次损失。
4、流氓程序:Rogue
一些软件程序为了获取流量,进行静默安装、捆绑推广等恶意行为,会被火绒拦截报毒。可以了解一下火绒防流氓的“软件安装拦截”和“下载站下载器”拦截功能,专治流氓!
5、广告程序:Adware
看见这个报毒,说明某个程序有大量的弹窗推广行为,火绒直接当成病毒查杀了。所以,如果大家发现有程序乱弹广告,可以反馈给我们。


附录二:火绒完整报毒名顺序介绍。
火绒的报毒和国外厂商的原则相似,遵循“CARO“原则,包含“前缀:主类型/平台类型.病毒家族名称.变种号!后缀”。如:HEUR:TrojanDownloader/JS.Nemucod.a。通常为方便辨认,在报毒界面只显示“病毒类型/病毒家族名.变种”。



pal家族
发表于 2020-5-28 12:23:23 | 显示全部楼层
令人作呕的文章
但愿不是火绒官方出品

评分

参与人数 7人气 +7 收起 理由
shymls + 1
心痛的伤不起 + 1 神马都是浮云
Zalore + 1 版区有你更精彩: )
cect258 + 1 ...
New_Start. + 1 版区有你更精彩: )

查看全部评分

OVS
发表于 2020-5-28 12:27:34 | 显示全部楼层
看到毛了
莒县小哥
发表于 2020-5-28 12:33:05 | 显示全部楼层
pal家族 发表于 2020-5-28 12:23
令人作呕的文章
但愿不是火绒官方出品

http://bbs.huorong.cn/thread-71615-1-1.html

请吧但愿去掉

评分

参与人数 1人气 +1 收起 理由
pal家族 + 1

查看全部评分

z1379
发表于 2020-5-28 12:44:19 | 显示全部楼层
都不标明文章出处的 ???
xiancong7
发表于 2020-5-28 13:36:06 | 显示全部楼层
pal家族 发表于 2020-5-28 12:23
令人作呕的文章
但愿不是火绒官方出品

你恶心什么呢?这篇说的是报毒的名称而已,没有触及大家对火绒探讨过多的查杀率问题。而且,也是发在他们自家平台和公众号,对象也是小白用户。合着人家真的不要宣传,用爱发电了么。话说,比起数字动不动就是郭嘉安全考虑,火绒说个自家报毒方式也没什么吧
名字无所谓
发表于 2020-5-28 13:49:38 | 显示全部楼层
[quote][url=forum.php?mod=redirect

尴吹太多,信仰绒不得侵犯
pal家族
发表于 2020-5-28 13:49:53 | 显示全部楼层
xiancong7 发表于 2020-5-28 13:36
你恶心什么呢?这篇说的是报毒的名称而已,没有触及大家对火绒探讨过多的查杀率问题。而且,也是发在他们 ...

恶心的都不想和你解释了
dg1vg4
发表于 2020-5-28 13:55:51 | 显示全部楼层
pal家族 发表于 2020-5-28 13:49
恶心的都不想和你解释了

说起来,去年好像看到个类似行文的文章,可是吹的是电脑管家,现在又看到这篇插着一堆莫名其妙的图的文章,我感到很凌乱。
pal家族
发表于 2020-5-28 14:27:13 | 显示全部楼层
dg1vg4 发表于 2020-5-28 13:55
说起来,去年好像看到个类似行文的文章,可是吹的是电脑管家,现在又看到这篇插着一堆莫名其妙的图的文章 ...

就像街上治那啥病的牛皮藓,能搬到台面上吗
还在今日头条也发了。。。。我真是醉了。

那个管家的文章我也是在里面狂喷了,内容不记得了,反正我喷了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 02:57 , Processed in 0.160681 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表