计算机通用病毒定义及命名规范详解 病毒名是由以下6字段组成的:主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号#附属名称.附属名称变种号.病毒长度。其中字段之间使用“.”分隔,#号以后属于内部信息,为推举结构。 主行为类型与病毒子行为类型 病毒可能包含多个主行为类型,这种情况可以通过每种主行为类型的危害级别确定危害级别{zg}的作为病毒的主行为类型。同样的,病毒也可能包含多个子行为类 型,这种情况可以通过每种主行为类型的危害级别确定危害级别{zg}的作为病毒的子行为类型。其中危害级别是指对病毒所在计算机的危害。 病毒主行为类型有是否显示的属性,用于生成病毒名时隐藏主行为名称。它与病毒子行为类型存在对应关系,见下表: 主行为类型 子行为类型 Backdoor 危害级别:1 说明: 中文名称—“后门”, 是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运行。“后门” 其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。 Worm 危害级别:2 说明: 中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软 盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。 危害级别:1 说明:通过邮件传播 IM 危害级别:2 说明:通过某个不明确的载体或多个明确的载体传播自己 MSN 危害级别:3 说明:通过MSN传播 危害级别:4 说明:通过OICQ传播 ICQ 危害级别:5 说明:通过ICQ传播 P2P 危害级别:6 说明:通过P2P软件传播 IRC 危害级别:7 说明:通过ICR传播 说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。 Trojan 危害级别:3 说明: 中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。 Spy 危害级别:1 说明:窃取用户信息(如:文件等) PSW 危害级别:2 说明:具有窃取密码的行为 DL 危害级别:3 说明:下载病毒并运行 一、判定条款: 没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行. 二、逻辑条件引发的事件: 事件1、.不能正常下载或下载的文件不能判定为病毒。 操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL 事件2.下载的文件是病毒 操作准则: 下载的文件是病毒,确定为: Trojan.DL IMMSG 危害级别:4 说明:通过某个不明确的载体或多个明确的载体传播即时消息(这一行为与蠕虫的传播行为不同,蠕虫是传播病毒自己,木马仅仅是传播消息) MSNMSG 危害级别:5 说明:通过MSN传播即时消息 QQMSG 危害级别:6 说明:通过OICQ传播即时消息 ICQMSG 危害级别:7 说明:通过ICQ传播即时消息 UCMSG 危害级别:8 说明:通过UC传播即时消息 Proxy 危害级别:9 说明:将被感染的计算机作为代理服务器 Clicker 危害级别:10 说明:点击指定的网页 判定条款: 没有可调出的任何界面,逻辑功能为:点击某网页。 操作准则: 该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。 (该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定) Dialer 危害级别:12 说明:通过拨号来骗取Money的程序 说明:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述 AOL 按照原来病毒名命名保留。 Notifier 按照原来病毒名命名保留。 Virus 危害级别:4 说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。 Harm 危害级别:5 说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。 Dropper 危害级别:6 说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。 一.Dropper判定条款: 没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。 二.逻辑条件引发的事件: 事件1:.释放的文件不是病毒。 操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper 事件2:释放的文件是病毒。 操作准则: 释放的文件是病毒,确定该文件为:Droper Hack 危害级别:无 说明:中文名称—“黑客工具”,是指可以在本地计算机通过网络攻击其他计算机的工具。 Exploit 说明:漏洞探测攻击工具 DDoser 说明:拒绝服务攻击工具 Flooder 说明:洪水攻击工具 说明:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述 Spam 说明:垃圾邮件。 Nuker Sniffer Spoofer Anti 说明:免杀的黑客工具 Binder 危害级别:无 说明:捆绑病毒的工具 正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。 宿主文件 宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种。 JS 说明:JavaScript脚本文件 VBS 说明:VBScript脚本文件 HTML 说明:HTML文件 Java 说明:Java的Class文件 COM 说明:Dos下的Com文件 EXE 说明:Dos下的Exe文件 Boot 说明:硬盘或软盘引导区 Word 说明:MS公司的Word文件 Excel 说明:MS公司的Excel文件 PE 说明:PE文件 WinREG 说明:注册表文件 Ruby 说明:一种脚本 Python 说明:一种脚本 BAT 说明:BAT脚本文件 IRC 说明:IRC脚本 主名称 病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的,如果无法确定则可以用字符串”Agent”来代替主名称,小于10k大小的文件可以命名为“Samll”。 版本信息 版本信息只允许为数字,对于版本信息不明确的不加版本信息。 主名称变种号 如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则 最多可以扩展3位,并且都均为小写字母a—z,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。 附属名称 病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种: Client 说明:后门程序的控制端 KEY_HOOK 说明:用于挂接键盘的模块 API_HOOK 说明:用于挂接API的模块 Install 说明:用于安装病毒的模块 Dll 说明:文件为动态库,并且包含多种功能 (空) 说明:没有附属名称,这条记录是病毒主体记录 附属名称变种号 如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记 录。变种号为不写字母a—z,如果一位版本号不够用则最多可以扩展3位,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选 择。 病毒长度 病毒长度字段只用于主行为类型为感染型(Virus)的病毒,字段的值为数字。字段值为0,表示病毒长度可变。 |