史萊姆論壇 - 查看單個文章

psac · 2006-03-24, 05:47 AM

火眼金睛教你根據名稱識別電腦病毒

火眼金睛教你根據名稱識別電腦病毒

很多時候大家已經用殺毒軟體查出了自己的電腦中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等這些一串英文還帶數位的病毒名，這時有些人就懵了，那麼長一串的名字，我怎麼知道是什麼病毒啊？
　　其實只要我們掌握一些病毒的命名規則，我們就能通過殺毒軟體的報告中出現的病毒名來判斷該病毒的一些公有的特性了。
　　世界上那麼多的病毒，反病毒公司為了方便管理，他們會按照病毒的特性，將病毒進行分類命名。雖然每個反病毒公司的命名規則都不太一樣，但大體都是採用一個統一的命名方法來命名的。一般格式為：<病毒前綴>.<病毒名>.<病毒後面> 。
　　病毒前綴是指一個病毒的種類，他是用來區別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。比如我們一般的木馬病毒的前綴 Trojan ，蠕蟲病毒的前綴是 Worm 等等還有其他的。
　　病毒名是指一個病毒的家族特徵，是用來區別和標幟病毒家族的，如以前著名的CIH病毒的家族名都是統一的「 CIH 」，還有近期鬧得正歡的振蕩波蠕蟲病毒的家族名是「 Sasser 」。
　　病毒後面是指一個病毒的變種特徵，是用來區別具體某個家族病毒的某個變種的。一般都採用英文中的26個字母來表示，如 Worm.Sasser.b 就是指振蕩波蠕蟲病毒的變種B，因此一般稱為「振蕩波B變種」或者「振蕩波變種B」。如果該病毒變種非常多（也表明該病毒生命力頑強 ^_^），可以採用數位與字母混合表示變種標幟。
　　綜上所述，一個病毒的前綴對我們快速的判斷該病毒屬於哪種檔案類型的病毒是有非常大的說明的。通過判斷病毒的檔案類型，就可以對這個病毒有個大概的評估（當然這需要積累一些一般病毒檔案類型的相關知識，這不在本文討論範圍）。而通過病毒名我們可以利用搜尋資料等方式進一步瞭解該病毒的詳細特徵。病毒後面能讓我們知道現在在你電腦裡待著的病毒是哪個變種。

　下面附帶一些一般的病毒前綴的解釋（針對我們用得最多的Windows作業系統）：
　　1、系統病毒
　　系統病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows作業系統的 *.exe 和 *.dll 文件，並通過這些文件進行傳播。如CIH病毒。

　　2、蠕蟲病毒
　　蠕蟲病毒的前綴是：Worm。這種病毒的公有特性是通過網路或者系統漏洞進行傳播，很大部分的蠕蟲病毒都有向外傳送帶毒郵件，阻塞網路的特性。比如衝擊波（阻塞網路），小郵差（髮帶毒郵件）等。

　　3、木馬病毒、黑客病毒
　　木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為 Hack 。木馬病毒的公有特性是通過網路或者系統漏洞進入用戶的系統並隱藏，然後向外界洩露用戶的訊息，而黑客病毒則有一個可視的介面，能對用戶的電腦進行遠端控制。木馬、黑客病毒往往是成對出現的，即木馬病毒負責侵入用戶的電腦，而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種檔案類型都越來越趨向於整合了。一般的木馬如QQ消息尾巴木馬 Trojan.QQ3344 ，還有大家可能遇見比較多的針對網路遊戲的木馬病毒如 Trojan.LMir.PSW.60 。這裡補充一點，病毒名中有PSW或者什麼PWD之類的一般都表示這個病毒有盜取密碼的功能（這些字母一般都為「密碼」的英文「password」的縮寫）一些黑客程序如：網路梟雄（Hack.Nether.Client）等。

4、指令碼病毒
　　指令碼病毒的前綴是：Script。指令碼病毒的公有特性是使用指令碼語言編寫，通過網頁進行的傳播的病毒，如紅色程式碼（Script.Redlof）——可不是我們的老大程式碼兄哦 ^_^。指令碼病毒還會有如下前綴：VBS、JS（表明是何種指令碼編寫的），如歡樂時光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

　　5、巨集病毒
　　其實巨集病毒是也是指令碼病毒的一種，由於它的特殊性，因此在這裡單獨算成一類。巨集病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。凡是只感染WORD97及以前版本WORD文件的病毒採用Word97做為第二前綴，格式是：Macro.Word97；凡是只感染WORD97以後版本WORD文件的病毒採用Word做為第二前綴，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文件的病毒採用Excel97做為第二前綴，格式是：Macro.Excel97；凡是只感染EXCEL97以後版本EXCEL文件的病毒採用Excel做為第二前綴，格式是：Macro.Excel，依此類推。該類病毒的公有特性是能感染OFFICE系列文件，然後通過OFFICE通用範本進行傳播，如：著名的美麗莎(Macro.Melissa)。

　　6、後門病毒
　　後門病毒的前綴是：Backdoor。該類病毒的公有特性是通過網路傳播，給系統開後門，給用戶電腦帶來安全隱患。如54很多朋友遇到過的IRC後門Backdoor.IRCBot 。

　　7、病毒種植程序病毒
　　這類病毒的公有特性是執行時會從體內解壓縮出一個或幾個新的病毒到系統目錄下，由解壓縮出來的新病毒產生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。

　　8．破壞性程序病毒
　　破壞性程序病毒的前綴是：Harm。這類病毒的公有特性是本身具有好看的圖示來誘惑用戶點擊，當用戶點擊這類病毒時，病毒便會直接對用戶電腦產生破壞。如：格式化C碟（Harm.formatC.f）、殺手指令（Harm.Command.Killer）等。

　　9．玩笑病毒
　　玩笑病毒的前綴是：Joke。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖示來誘惑用戶點擊，當用戶點擊這類病毒時，病毒會做出各種破壞操作來嚇唬用戶，其實病毒並沒有對用戶電腦進行任何破壞。如：女鬼（Joke.Girlghost）病毒。

　　10．元件服務機病毒
　　元件服務機病毒的前綴是：Binder。這類病毒的公有特性是病毒作者會使用特定的元件服務程序將病毒與一些應用程式如QQ、IE元件服務起來，表面上看是一個正常的文件，當用戶執行這些元件服務病毒時，會表面上執行這些應用程式，然後隱藏執行元件服務在一起的病毒，從而給用戶造成危害。如：元件服務QQ（Binder.QQPass.黑名單in）、系統殺手（Binder.killsys）等。

　　以上為比較一般的病毒前綴，有時候我們還會看到一些其他的，但比較少見，這裡簡單提一下：
　　DoS：會針對某台主機或者伺服器進行DoS攻擊；
　　Exploit：會自動通過溢位對方或者自己的系統漏洞來傳播自身，或者他本身就是一個用於Hacking的溢位工具；
　　HackTool：黑客工具，也許本身並不破壞你的電腦，但是會被別人加以利用來用你做替身去破壞別人。

2006-03-24, 05:47 AM	#2 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	火眼金睛教你根據名稱識別電腦病毒火眼金睛教你根據名稱識別電腦病毒很多時候大家已經用殺毒軟體查出了自己的電腦中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等這些一串英文還帶數位的病毒名，這時有些人就懵了，那麼長一串的名字，我怎麼知道是什麼病毒啊？　　其實只要我們掌握一些病毒的命名規則，我們就能通過殺毒軟體的報告中出現的病毒名來判斷該病毒的一些公有的特性了。　　世界上那麼多的病毒，反病毒公司為了方便管理，他們會按照病毒的特性，將病毒進行分類命名。雖然每個反病毒公司的命名規則都不太一樣，但大體都是採用一個統一的命名方法來命名的。一般格式為：<病毒前綴>.<病毒名>.<病毒後面> 。　　病毒前綴是指一個病毒的種類，他是用來區別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。比如我們一般的木馬病毒的前綴 Trojan ，蠕蟲病毒的前綴是 Worm 等等還有其他的。　　病毒名是指一個病毒的家族特徵，是用來區別和標幟病毒家族的，如以前著名的CIH病毒的家族名都是統一的「 CIH 」，還有近期鬧得正歡的振蕩波蠕蟲病毒的家族名是「 Sasser 」。　　病毒後面是指一個病毒的變種特徵，是用來區別具體某個家族病毒的某個變種的。一般都採用英文中的26個字母來表示，如 Worm.Sasser.b 就是指振蕩波蠕蟲病毒的變種B，因此一般稱為「振蕩波B變種」或者「振蕩波變種B」。如果該病毒變種非常多（也表明該病毒生命力頑強 ^_^），可以採用數位與字母混合表示變種標幟。　　綜上所述，一個病毒的前綴對我們快速的判斷該病毒屬於哪種檔案類型的病毒是有非常大的說明的。通過判斷病毒的檔案類型，就可以對這個病毒有個大概的評估（當然這需要積累一些一般病毒檔案類型的相關知識，這不在本文討論範圍）。而通過病毒名我們可以利用搜尋資料等方式進一步瞭解該病毒的詳細特徵。病毒後面能讓我們知道現在在你電腦裡待著的病毒是哪個變種。　下面附帶一些一般的病毒前綴的解釋（針對我們用得最多的Windows作業系統）：　　1、系統病毒　　系統病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows作業系統的 .exe 和 .dll 文件，並通過這些文件進行傳播。如CIH病毒。　　2、蠕蟲病毒　　蠕蟲病毒的前綴是：Worm。這種病毒的公有特性是通過網路或者系統漏洞進行傳播，很大部分的蠕蟲病毒都有向外傳送帶毒郵件，阻塞網路的特性。比如衝擊波（阻塞網路），小郵差（髮帶毒郵件）等。　　3、木馬病毒、黑客病毒　　木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為 Hack 。木馬病毒的公有特性是通過網路或者系統漏洞進入用戶的系統並隱藏，然後向外界洩露用戶的訊息，而黑客病毒則有一個可視的介面，能對用戶的電腦進行遠端控制。木馬、黑客病毒往往是成對出現的，即木馬病毒負責侵入用戶的電腦，而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種檔案類型都越來越趨向於整合了。一般的木馬如QQ消息尾巴木馬 Trojan.QQ3344 ，還有大家可能遇見比較多的針對網路遊戲的木馬病毒如 Trojan.LMir.PSW.60 。這裡補充一點，病毒名中有PSW或者什麼PWD之類的一般都表示這個病毒有盜取密碼的功能（這些字母一般都為「密碼」的英文「password」的縮寫）一些黑客程序如：網路梟雄（Hack.Nether.Client）等。 4、指令碼病毒　　指令碼病毒的前綴是：Script。指令碼病毒的公有特性是使用指令碼語言編寫，通過網頁進行的傳播的病毒，如紅色程式碼（Script.Redlof）——可不是我們的老大程式碼兄哦 ^_^。指令碼病毒還會有如下前綴：VBS、JS（表明是何種指令碼編寫的），如歡樂時光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。　　5、巨集病毒　　其實巨集病毒是也是指令碼病毒的一種，由於它的特殊性，因此在這裡單獨算成一類。巨集病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。凡是只感染WORD97及以前版本WORD文件的病毒採用Word97做為第二前綴，格式是：Macro.Word97；凡是只感染WORD97以後版本WORD文件的病毒採用Word做為第二前綴，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文件的病毒採用Excel97做為第二前綴，格式是：Macro.Excel97；凡是只感染EXCEL97以後版本EXCEL文件的病毒採用Excel做為第二前綴，格式是：Macro.Excel，依此類推。該類病毒的公有特性是能感染OFFICE系列文件，然後通過OFFICE通用範本進行傳播，如：著名的美麗莎(Macro.Melissa)。　　6、後門病毒　　後門病毒的前綴是：Backdoor。該類病毒的公有特性是通過網路傳播，給系統開後門，給用戶電腦帶來安全隱患。如54很多朋友遇到過的IRC後門Backdoor.IRCBot 。　　7、病毒種植程序病毒　　這類病毒的公有特性是執行時會從體內解壓縮出一個或幾個新的病毒到系統目錄下，由解壓縮出來的新病毒產生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。　　8．破壞性程序病毒　　破壞性程序病毒的前綴是：Harm。這類病毒的公有特性是本身具有好看的圖示來誘惑用戶點擊，當用戶點擊這類病毒時，病毒便會直接對用戶電腦產生破壞。如：格式化C碟（Harm.formatC.f）、殺手指令（Harm.Command.Killer）等。　　9．玩笑病毒　　玩笑病毒的前綴是：Joke。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖示來誘惑用戶點擊，當用戶點擊這類病毒時，病毒會做出各種破壞操作來嚇唬用戶，其實病毒並沒有對用戶電腦進行任何破壞。如：女鬼（Joke.Girlghost）病毒。　　10．元件服務機病毒　　元件服務機病毒的前綴是：Binder。這類病毒的公有特性是病毒作者會使用特定的元件服務程序將病毒與一些應用程式如QQ、IE元件服務起來，表面上看是一個正常的文件，當用戶執行這些元件服務病毒時，會表面上執行這些應用程式，然後隱藏執行元件服務在一起的病毒，從而給用戶造成危害。如：元件服務QQ（Binder.QQPass.黑名單in）、系統殺手（Binder.killsys）等。　　以上為比較一般的病毒前綴，有時候我們還會看到一些其他的，但比較少見，這裡簡單提一下：　　DoS：會針對某台主機或者伺服器進行DoS攻擊；　　Exploit：會自動通過溢位對方或者自己的系統漏洞來傳播自身，或者他本身就是一個用於Hacking的溢位工具；　　HackTool：黑客工具，也許本身並不破壞你的電腦，但是會被別人加以利用來用你做替身去破壞別人。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次