了解赛门铁克的威胁名称

anthonyqian

之前就看到论坛上一直有人在问诺顿/SEP的B杀C杀是啥意思，还有人说B杀（Heur.AdvML.B）就是“万物杀”。随着赛门铁克官方移除了对威胁名称的详细解释的页面（write-up），用户对赛门铁克的报毒名产生疑惑完全可以理解。下面我就诺顿平时报的比较多的几个威胁名称分享一下自己的看法。也欢迎大家补充和指正。

一、基于机器学习的检测（machine learning-based detection）

1. Heur.AdvML.A

• 解释：本地的激进的高级机器学习启发检测，俗称A杀。
• 注释：（以诺顿为例）只在“设置-扫描和风险-启发式防护”值为“主动”时才会触发。有可能会和基于签名的检测一同出现。尽管诺顿警告调整为主动后误报会增加，但实际上大多数误报还是源自B杀、WS.Reputation.1、Trojan.Gen。源自A杀的误报我目前没有遇到。因此还是比较建议将启发式防护调整为激进的。该检测断网可触发。随SDS的更新而更新。
  

2. Heur.AdvML.B

• 解释：本地的普通的高级机器学习启发检测，俗称B杀。
• 注释：这应该是最常见的报法了，相当于卡巴的HEUR:XXX报法。由于赛门铁克不会对基于机器学习的检测进行威胁家族分类，或者内部分类了但客户端不显示，所以仅凭B杀看不出具体威胁的类型。B杀是诺顿/SEP检测的主力，但是也带来了相当数量的误报，尤其是国产的绿色小工具。但是不推荐为此关闭启发式检测或排除B杀这个报法，因为这样会大大削弱保护力。该检测断网可触发。随SDS的更新而更新。
  

3. Heur.AdvML.C

• 解释：云端的高级机器学期启发检测，俗称C杀。
• 注释：这应该也是比较常见的报法，和迈克菲的月神杀、红伞的APC杀有点类似。这是样本通过赛门铁克云端的机器学习引擎（比本地的要复杂的多）检测到的威胁。同样，你无法凭借C杀判断威胁类型。由于C杀是基于云的，一旦断网，就不能触发C杀。另外，和迈克菲的月神杀、红伞的APC杀一样，可以视作哈希拉黑，因为客户端这里，只要稍微改动样本的哈希，就可以过C杀。赛门铁克的C杀，也就是云端机器学习，从云端收到样本到拉黑，个人感觉是比咖啡要慢不少的，和Avira的APC的实时出结果更是不能相提并论。另外，一般情况下，触发C杀的样本同时还能触发Trojan.Gen.XX杀。
  

4. Heur.AdvML.D

• 解释：待补充。
• 注释：在PE类文件下载时触发，或者其被非PE文件运行时触发（比如脚本运行执行程序的情况）（https://bbs.kafan.cn/thread-2111657-1-1.html）。我用诺顿到现在似乎只见过一次D杀，印象里是在扫描的过程中触发的，和上面的解释存在出入。欢迎知情人士补充。
  

二、基于文件的检测（File-based detection）

1. Scr.Malcode!gdnXXX

• 解释：对恶意代码的启发技术。（字面理解）
• 注释：个人觉得是铁壳引擎里面非常厉害的检测技术了。常常能检测到其他厂商检测不到的威胁，并且几乎没遇到误报的情况。不依赖网络，不依赖哈希。
  

2. Scr.MalMacro!genXXX

• 解释：对恶意宏的启发技术。（字面理解）
• 注释：同样，也是最近发现还比较厉害的检测技术。主要是针对MS Office中的恶意宏的检测。不依赖网络，不依赖哈希。
  

3. Trojan.Gen / Trojan.Gen.X（数字） / Trojan.Gen.MBT / Trojan.Gen.NPE

• 解释：基于哈希的通用拉黑技术。
• 注释：这是诺顿/SEP最最常见的报法了，也是最受诟病的报法了。对于一些铁壳认为需要快速拉黑的、比较罕见的、没法分类的，或者没必要提取特征的样本，都会采用这个报法进行拉黑。拉黑的手法，包括了自动机分析和人工分析。由于这个拉黑是基于样本哈希的，因此稍微改一下MD5就会过。这个报法有时候需要联网才会报（尤其是新鲜样本），有时候断网也会报。至于Gen后面的数字或是MBT，可以明确的是，这不是按病毒类型/家族分的。之前看到有人问铁壳官方，对方的答复是按流行程度分。据我观察，NPE拉黑文档、脚本比较多，其他是真的没看出规律。欢迎知情人士补充~
  

4. Trojan Horse

• 注释：通用木马报法。
• 注释：之所以把Trojan Horse和上面的Trojan.Gen.X分开，是因为我观察到有时候改哈希，Trojan Horse报法仍旧触发。因此怀疑这个报法至少和Trojan.Gen.X存在一定区别。不确定Trojan Horse是模糊哈希还是基于特征的检测，欢迎知情人士补充。这个报法有时候联网才会触发，有时候断网也能触发。
  

5. Trojan.Mdropper / W97M.Downloader

• 解释：基于哈希的释放器/下载器木马的检测。
• 注释：通常是针对MS Office文档病毒释放器/下载器的检测。别以为铁壳进行了特征拉黑，其实还是哈希拉黑。这个检测有时需要联网才会报。
  

6. Ransom.Wannacry

• 解释：字面上是Wannacry勒索，其实包括很多非Wannacry勒索的样本。
• 注释：算是赛门铁克最奇葩的报法了。有时候样本连勒索行为都没有却被识别为这个报法，然后要走一遍Wannacry勒索的修复流程，包括壁纸更改，重启电脑。目前不知道触发场景和报法背后的逻辑。欢迎知情人士补充。
  

7. ISB.Downloader!xxxx / CL.Downloader!xxxx

• 解释：下载器的启发式检测。
• 注释：比较精准的报法，主要针对恶意脚本下载器。常常能检测到别的杀软无法检测的恶意脚本。误报极少，反正我还没遇到。断网环境下可以触发。尚不清楚ISB和CL的区别，欢迎知情人士补充。
  

8. JS.Vajawom

• 解释：基于哈希的恶意JS文件的检测。
• 注释：和Trojan.Mdropper一样，别以为JS.Vajawom是基于特征的，实际上还是基于哈希的。
  

9. W32.XXX / W64.XXX / Infostealer / Ransom.XXX / Backdoor.XXX / Exp.XXX / ...

• 解释：基于威胁特征的检测。
• 注释：赛门铁克会定期针对流行的病毒家族提取特征并入库。此前如果存在Trojan.Gen.X一类的通用拉黑报法，会被更精准的威胁家族报法替代。这一类报法离线就可以触发，而且可以检测出大量的同家族的威胁，当然也能抵抗哈希修改。一般来说，这种报法不太可能误报。
  

10. JS.Cloud.xxx / VBS.Cloud.xxx

• 解释：云端恶意脚本拉黑。（字面理解）
• 注释：最近才看到这个报法，一无所知，欢迎补充。
  

11. Bloodhound.XXX.XXX

• 解释：老牌的启发技术。（https://bbs.kafan.cn/thread-2111657-1-1.html）
• 注释：我见的比较多的是Bloodhound.RTF.xxxx，主要是用启发的方式查杀恶意RTF文件。其他的Bloodhound报法最近感觉不太常见，感觉主要被上面的高级机器学习和其他启发技术取代了。由于接触的不多，欢迎补充。
  

三、基于信誉的检测（Reputation-based detection)

1. WS.Reputation.1

• 解释：基于云端信誉网络（Insight）的检测。
• 注释：这是赛门铁克最玄学，也是最容易误报的检测了。只能通过智能下载分析触发，扫描和自动防护都不会触发。而且有可能别人能触发你这里不能触发。从一些陌生的网址下载一些比较罕见的没有数字签名的文件都有可能触发这个检测。更多信息：https://bbs.kafan.cn/thread-2186565-1-1.html
  

2. WS.Malware.1/2

• 解释：云端拉黑。（字面理解）
• 注释：最近才遇到这个报法，还是比较罕见的，还不是特别清楚具体的细节。怀疑是从WS.Reputation.1到入库拉黑的过渡报法。从结构看，和下面的WS.Reputation.1很像，但不同的是，这个报法可以用扫描和自动防护触发。诺顿界面里面是把这个分类为“病毒”，而WS.Reputation.1是“智能网络威胁”。这个报法需要联网才能触发。另外，这个报法可以抵抗哈希修改。
  

aboringman

前排学习

Heur.AdvML.A这个是验证过的，开到主动档后可以见到（但现在基本上就销声匿迹了。。。。。。），不开主动好像也会报这个。

WS.Reputation.1，JS.Cloud.1，W97M.Cloud.1这三种妥妥的云报法，只有在网络环境处于理想状态的情况下才能稳定发挥。。。。。。（Cloud报法这种有时候实机不报进虚拟机会有惊喜，特别是长时间没有更新的状态下，盲猜是一种应急报法）

Miostartos

Bloodhound是老牌启发，后面加入了机学（虽然还是没啥用
不是老牌机学启发，这玩意算是最早的几个启发式了
中间有五六年虽然东西在但是压根没见过，前几年又蹦出来了

anthonyqian

Miostartos 发表于 2022-1-19 12:52
Bloodhound是老牌启发，后面加入了机学（虽然还是没啥用
不是老牌机学启发，这玩意算是最早的几个启发式了 ...

已修改~

野小子SAS

过来学习学习。

dongbingtuo

学习学习。

哈哈1122334

感谢科普