查看: 616|回复: 4
收起左侧

[技术探讨] Microsoft Defender 恶意软件命名(报毒名)

[复制链接]
00006666
发表于 2024-9-25 19:50:12 | 显示全部楼层 |阅读模式
本文内容转载自微软文档:

https://learn.microsoft.com/zh-cn/defender-xdr/malware-naming

我们根据计算机防病毒研究组织 (CARO) 恶意软件命名方案对检测到的恶意软件和不需要的软件进行命名。 方案使用以下格式:



当我们的分析师研究特定威胁时,他们会确定每个组件的名称。

类型

描述恶意软件在计算机上执行的操作。 蠕虫、病毒、特洛伊木马、后门和勒索软件是一些最常见的恶意软件类型。

  1. * Adware
  2. * Backdoor
  3. * Behavior
  4. * BrowserModifier
  5. * Constructor
  6. * DDoS
  7. * Exploit
  8. * HackTool
  9. * Joke
  10. * Misleading
  11. * MonitoringTool
  12. * Program
  13. * Personal Web Server (PWS)
  14. * Ransom
  15. * RemoteAccess
  16. * Rogue
  17. * SettingsModifier
  18. * SoftwareBundler
  19. * Spammer
  20. * Spoofer
  21. * Spyware
  22. * Tool
  23. * Trojan
  24. * TrojanClicker
  25. * TrojanDownloader
  26. * TrojanNotifier
  27. * TrojanProxy
  28. * TrojanSpy
  29. * VirTool
  30. * Virus
  31. * Worm
复制代码


平台

平台将恶意软件引导到其兼容的操作系统 (,例如 Windows、macOS 和 Android) 。 平台指南还用于编程语言和文件格式。

操作系统

  1. * AndroidOS: Android operating system
  2. * DOS: MS-DOS platform
  3. * EPOC: Psion devices
  4. * FreeBSD: FreeBSD platform
  5. * iOS: iPhone operating system
  6. * Linux: Linux platform
  7. * macOS: MAC 9.x platform or earlier
  8. * macOS_X: macOS X or later
  9. * OS2: OS2 platform
  10. * Palm: Palm operating system
  11. * Solaris: System V-based Unix platforms
  12. * SunOS: Unix platforms 4.1.3 or lower
  13. * SymbOS: Symbian operating system
  14. * Unix: general Unix platforms
  15. * Win16: Win16 (3.1) platform
  16. * Win2K: Windows 2000 platform
  17. * Win32: Windows 32-bit platform
  18. * Win64: Windows 64-bit platform
  19. * Win95: Windows 95, 98 and ME platforms
  20. * Win98: Windows 98 platform only
  21. * WinCE: Windows CE platform
  22. * WinNT: WinNT
复制代码


脚本语言

  1. * ABAP: Advanced Business Application Programming scripts
  2. * ALisp: ALisp scripts
  3. * AmiPro: AmiPro script
  4. * ANSI: American National Standards Institute scripts
  5. * AppleScript: compiled Apple scripts
  6. * ASP: Active Server Pages scripts
  7. * AutoIt: AutoIT scripts
  8. * BAS: Basic scripts
  9. * BAT: Basic scripts
  10. * CorelScript: Corelscript scripts
  11. * HTA: HTML Application scripts
  12. * HTML: HTML Application scripts
  13. * INF: Install scripts
  14. * IRC: mIRC/pIRC scripts
  15. * Java: Java binaries (classes)
  16. * JS: JavaScript scripts
  17. * LOGO: LOGO scripts
  18. * MPB: MapBasic scripts
  19. * MSH: Monad shell scripts
  20. * MSIL: .NET intermediate language scripts
  21. * Perl: Perl scripts
  22. * PHP: Hypertext Preprocessor scripts
  23. * Python: Python scripts
  24. * SAP: SAP platform scripts
  25. * SH: Shell scripts
  26. * VBA: Visual Basic for Applications scripts
  27. * VBS: Visual Basic scripts
  28. * WinBAT: Winbatch scripts
  29. * WinHlp: Windows Help scripts
  30. * WinREG: Windows registry scripts
复制代码




  1. * A97M: Access 97, 2000, XP, 2003, 2007, and 2010 macros
  2. * HE: macro scripting
  3. * O97M: Office 97, 2000, XP, 2003, 2007, and 2010 macros - those that affect Word, Excel, and PowerPoint
  4. * PP97M: PowerPoint 97, 2000, XP, 2003, 2007, and 2010 macros
  5. * V5M: Visio5 macros
  6. * W1M: Word1Macro
  7. * W2M: Word2Macro
  8. * W97M: Word 97, 2000, XP, 2003, 2007, and 2010 macros
  9. * WM: Word 95 macros
  10. * X97M: Excel 97, 2000, XP, 2003, 2007, and 2010 macros
  11. * XF: Excel formulas
  12. * XM: Excel 95 macros
复制代码


其他文件类型

  1. * ASX: XML metafile of Windows Media .asf files
  2. * HC: HyperCard Apple scripts
  3. * MIME: MIME packets
  4. * Netware: Novell Netware files
  5. * QT: Quicktime files
  6. * SB: StarBasic (StarOffice XML) files
  7. * SWF: Shockwave Flash files
  8. * TSQL: MS SQL server files
  9. * XML: XML files
复制代码


系列

基于共同特征(包括归因到同一作者)对恶意软件进行分组。 安全软件提供商有时对同一恶意软件系列使用不同的名称。

变体字母

按顺序用于恶意软件系列的每个不同版本。 例如,变体“.AF”的检测将在检测变体“之后创建。AE”。

后缀

提供有关恶意软件的额外详细信息,包括将其用作多组件威胁的一部分的方式。 在前面的示例中, “!lnk” 指示威胁组件是 Trojan 使用的快捷方式文件: Win32/Reveton.T。

  1. * .dam: damaged malware
  2. * .dll: Dynamic Link Library component of a malware
  3. * .dr: dropper component of a malware
  4. * .gen: malware that is detected using a generic signature
  5. * .kit: virus constructor
  6. * .ldr: loader component of a malware
  7. * .pak: compressed malware
  8. * .plugin: plug-in component
  9. * .remnants: remnants of a virus
  10. * .worm: worm component of that malware
  11. * !bit: an internal category used to refer to some threats
  12. * !cl: an internal category used to refer to some threats
  13. * !dha: an internal category used to refer to some threats
  14. * !pfn: an internal category used to refer to some threats
  15. * !plock: an internal category used to refer to some threats
  16. * !rfn: an internal category used to refer to some threats
  17. * !rootkit: rootkit component of that malware
  18. * @m: worm mailers
  19. * @mm: mass mailer worm
复制代码

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +22 收起 理由
白露为霜 + 22 感谢提供分享

查看全部评分

ANY.LNK
发表于 2024-9-25 23:15:18 | 显示全部楼层
本帖最后由 ANY.LNK 于 2024-9-25 23:17 编辑

啊……感觉这个文档好久都没有效的更新了……这个图还是好多年前的风格了

像诸如!ml !MTB !MSR之类的分类名也没有……
00006666
 楼主| 发表于 2024-9-26 05:55:47 | 显示全部楼层
ANY.LNK 发表于 2024-9-25 23:15
啊……感觉这个文档好久都没有效的更新了……这个图还是好多年前的风格了

像诸如!ml !MTB !MSR之类的分 ...

英文版文档https://learn.microsoft.com/en-us/defender-xdr/malware-naming

时间04/23/2024   里面也没有……

可能负责更新这个文档的只是想把明确入库的报毒名写在里面吧……
驭龙
发表于 2024-9-26 16:15:04 | 显示全部楼层
00006666 发表于 2024-9-26 05:55
英文版文档https://learn.microsoft.com/en-us/defender-xdr/malware-naming

时间04/23/2024   里面也 ...

!后面的后缀是代表该特征识别使用的技术,每个一段时间就会迭代,所以的技术会变化,后缀也会变化
ANY.LNK
发表于 2024-9-26 23:26:51 | 显示全部楼层
00006666 发表于 2024-9-26 05:55
英文版文档https://learn.microsoft.com/en-us/defender-xdr/malware-naming

时间04/23/2024   里面也 ...

!cl !plock这些也是挺笼统的()
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 00:40 , Processed in 0.128080 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表