Microsoft Defender 恶意软件命名(报毒名)

00006666

本文内容转载自微软文档:

https://learn.microsoft.com/zh-cn/defender-xdr/malware-naming

我们根据计算机防病毒研究组织 (CARO) 恶意软件命名方案对检测到的恶意软件和不需要的软件进行命名。 方案使用以下格式：



当我们的分析师研究特定威胁时，他们会确定每个组件的名称。

类型

描述恶意软件在计算机上执行的操作。 蠕虫、病毒、特洛伊木马、后门和勒索软件是一些最常见的恶意软件类型。

1. * Adware
   
2. * Backdoor
   
3. * Behavior
   
4. * BrowserModifier
   
5. * Constructor
   
6. * DDoS
   
7. * Exploit
   
8. * HackTool
   
9. * Joke
   
10. * Misleading
    
11. * MonitoringTool
    
12. * Program
    
13. * Personal Web Server (PWS)
    
14. * Ransom
    
15. * RemoteAccess
    
16. * Rogue
    
17. * SettingsModifier
    
18. * SoftwareBundler
    
19. * Spammer
    
20. * Spoofer
    
21. * Spyware
    
22. * Tool
    
23. * Trojan
    
24. * TrojanClicker
    
25. * TrojanDownloader
    
26. * TrojanNotifier
    
27. * TrojanProxy
    
28. * TrojanSpy
    
29. * VirTool
    
30. * Virus
    
31. * Worm

复制代码

平台

平台将恶意软件引导到其兼容的操作系统 (，例如 Windows、macOS 和 Android) 。 平台指南还用于编程语言和文件格式。

操作系统

1. * AndroidOS: Android operating system
   
2. * DOS: MS-DOS platform
   
3. * EPOC: Psion devices
   
4. * FreeBSD: FreeBSD platform
   
5. * iOS: iPhone operating system
   
6. * Linux: Linux platform
   
7. * macOS: MAC 9.x platform or earlier
   
8. * macOS_X: macOS X or later
   
9. * OS2: OS2 platform
   
10. * Palm: Palm operating system
    
11. * Solaris: System V-based Unix platforms
    
12. * SunOS: Unix platforms 4.1.3 or lower
    
13. * SymbOS: Symbian operating system
    
14. * Unix: general Unix platforms
    
15. * Win16: Win16 (3.1) platform
    
16. * Win2K: Windows 2000 platform
    
17. * Win32: Windows 32-bit platform
    
18. * Win64: Windows 64-bit platform
    
19. * Win95: Windows 95, 98 and ME platforms
    
20. * Win98: Windows 98 platform only
    
21. * WinCE: Windows CE platform
    
22. * WinNT: WinNT

复制代码

脚本语言

1. * ABAP: Advanced Business Application Programming scripts
   
2. * ALisp: ALisp scripts
   
3. * AmiPro: AmiPro script
   
4. * ANSI: American National Standards Institute scripts
   
5. * AppleScript: compiled Apple scripts
   
6. * ASP: Active Server Pages scripts
   
7. * AutoIt: AutoIT scripts
   
8. * BAS: Basic scripts
   
9. * BAT: Basic scripts
   
10. * CorelScript: Corelscript scripts
    
11. * HTA: HTML Application scripts
    
12. * HTML: HTML Application scripts
    
13. * INF: Install scripts
    
14. * IRC: mIRC/pIRC scripts
    
15. * Java: Java binaries (classes)
    
16. * JS: JavaScript scripts
    
17. * LOGO: LOGO scripts
    
18. * MPB: MapBasic scripts
    
19. * MSH: Monad shell scripts
    
20. * MSIL: .NET intermediate language scripts
    
21. * Perl: Perl scripts
    
22. * PHP: Hypertext Preprocessor scripts
    
23. * Python: Python scripts
    
24. * SAP: SAP platform scripts
    
25. * SH: Shell scripts
    
26. * VBA: Visual Basic for Applications scripts
    
27. * VBS: Visual Basic scripts
    
28. * WinBAT: Winbatch scripts
    
29. * WinHlp: Windows Help scripts
    
30. * WinREG: Windows registry scripts

复制代码

宏

1. * A97M: Access 97, 2000, XP, 2003, 2007, and 2010 macros
   
2. * HE: macro scripting
   
3. * O97M: Office 97, 2000, XP, 2003, 2007, and 2010 macros - those that affect Word, Excel, and PowerPoint
   
4. * PP97M: PowerPoint 97, 2000, XP, 2003, 2007, and 2010 macros
   
5. * V5M: Visio5 macros
   
6. * W1M: Word1Macro
   
7. * W2M: Word2Macro
   
8. * W97M: Word 97, 2000, XP, 2003, 2007, and 2010 macros
   
9. * WM: Word 95 macros
   
10. * X97M: Excel 97, 2000, XP, 2003, 2007, and 2010 macros
    
11. * XF: Excel formulas
    
12. * XM: Excel 95 macros

复制代码

其他文件类型

1. * ASX: XML metafile of Windows Media .asf files
   
2. * HC: HyperCard Apple scripts
   
3. * MIME: MIME packets
   
4. * Netware: Novell Netware files
   
5. * QT: Quicktime files
   
6. * SB: StarBasic (StarOffice XML) files
   
7. * SWF: Shockwave Flash files
   
8. * TSQL: MS SQL server files
   
9. * XML: XML files

复制代码

系列

基于共同特征（包括归因到同一作者）对恶意软件进行分组。 安全软件提供商有时对同一恶意软件系列使用不同的名称。

变体字母

按顺序用于恶意软件系列的每个不同版本。 例如，变体“.AF”的检测将在检测变体“之后创建。AE”。

后缀

提供有关恶意软件的额外详细信息，包括将其用作多组件威胁的一部分的方式。 在前面的示例中， “！lnk” 指示威胁组件是 Trojan 使用的快捷方式文件： Win32/Reveton.T。

1. * .dam: damaged malware
   
2. * .dll: Dynamic Link Library component of a malware
   
3. * .dr: dropper component of a malware
   
4. * .gen: malware that is detected using a generic signature
   
5. * .kit: virus constructor
   
6. * .ldr: loader component of a malware
   
7. * .pak: compressed malware
   
8. * .plugin: plug-in component
   
9. * .remnants: remnants of a virus
   
10. * .worm: worm component of that malware
    
11. * !bit: an internal category used to refer to some threats
    
12. * !cl: an internal category used to refer to some threats
    
13. * !dha: an internal category used to refer to some threats
    
14. * !pfn: an internal category used to refer to some threats
    
15. * !plock: an internal category used to refer to some threats
    
16. * !rfn: an internal category used to refer to some threats
    
17. * !rootkit: rootkit component of that malware
    
18. * @m: worm mailers
    
19. * @mm: mass mailer worm

复制代码

ANY.LNK

啊……感觉这个文档好久都没有效的更新了……这个图还是好多年前的风格了

像诸如!ml !MTB !MSR之类的分类名也没有……

00006666

ANY.LNK 发表于 2024-9-25 23:15
啊……感觉这个文档好久都没有效的更新了……这个图还是好多年前的风格了

像诸如!ml !MTB !MSR之类的分 ...

英文版文档https://learn.microsoft.com/en-us/defender-xdr/malware-naming

时间04/23/2024   里面也没有……

可能负责更新这个文档的只是想把明确入库的报毒名写在里面吧……

驭龙

00006666 发表于 2024-9-26 05:55
英文版文档https://learn.microsoft.com/en-us/defender-xdr/malware-naming

时间04/23/2024   里面也 ...

！后面的后缀是代表该特征识别使用的技术，每个一段时间就会迭代，所以的技术会变化，后缀也会变化

ANY.LNK

00006666 发表于 2024-9-26 05:55
英文版文档https://learn.microsoft.com/en-us/defender-xdr/malware-naming

时间04/23/2024   里面也 ...

!cl !plock这些也是挺笼统的（）