|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-03-02, 08:39 PM | #1 |
榮譽會員
|
瞭解病毒名稱(命名)及檢測方法-for McAfee用戶
基礎知識:瞭解病毒名稱(命名)及檢測方法-for McAfee用戶
瞭解病毒名稱 我們的防病毒軟體通常遵循業界通用的命名慣例來表示它檢測和 清除的病毒。某些病毒名稱偶爾也會有別於嚴格的業界標準。 如果某種新病毒具有一系列具體特徵並表明它是一個全新品種,我 們會將它冠名為某某「系列」。病毒研究人員根據病毒的某些特點 或表現(例如文本串或有效負載影響)來確定這一系列的名稱。 系列名稱可以包括用來指定病毒字元大小的數值型字串。研究人員 使用這個名稱來方便地區別類似的病毒變種。 在病毒系列中,變種的名稱由系列名稱和後面組成,例如 BadVirus.a。後面按字母順序排列,到 z 為止,然後再開始按 aa 形式排列,直到 az。再後來的病毒變種將使用後面 ba 到 bz, 依次類推,直到 zz。如果以後又出現新的變種,則使用後面 aaa。 隨著新病毒變形的不斷出現,業界的命名慣例也開始採用越來越多 的訊息。例如,某些名稱包括表示病毒執行平台的訊息。 防病毒廠商採用的病毒名稱可以包括前綴、中綴和後面。 前綴 前綴指明病毒感染的檔案類型或可能有害的軟體執行的平台。感染 DOS 可執行文件的病毒沒有前綴。我們的命名慣例包括下列前綴: A97M/ 感染 Microsoft Access 97 文件的巨集病毒。 APM/ 感染 Ami Pro 我的文件和範本文件的巨集病毒或特洛 伊木馬程序。 Bat/ 批次處理文件病毒或特洛伊木馬程序。這些病毒通常 作為批次處理或指令碼文件執行,可能會影響需要解釋 指令碼或批次處理指令的某些程序。這些病毒流動性很 強,幾乎能夠影響可以執行批次處理或指令碼文件的所 有平台。這些文件本身通常使用 BAT 副檔名。 CSC/ 感染 Corel Draw 我的文件文件、範本文件和指令碼 的 Corel Script 病毒或特洛伊木馬程序。 IRC/ Internet Relay Chat 指令碼病毒。這種病毒使 用早期版本的 mIRC 客戶端軟體分發病毒或有效 負載。 JS/ 用 JavaScript 語言編寫的指令碼病毒或特洛伊 木馬程序。 JV/ 可能有害的 Java 應用程式或小程序。 Linux/以 ELF 文件格式編寫的、作用於 Linux 操作 系統的病毒或特洛伊木馬程序。 LWP/ 可能對 Lotus WordPro 有害的軟體。 MacHC/作用於 Apple Macintosh HyperCard 指令碼 語言的病毒或特洛伊木馬程序。 MacOS/作用於 Apple Macintosh OS 6 至 9 的病毒 或特洛伊木馬程序。 MSIL/ 用 Microsoft Intermediate Language 框 架(也稱為 .NET)編寫的應用程式。 P98M/ 感染 Microsoft Project 我的文件和範本的巨集病 毒或特洛伊木馬程序。 PalmOS/ 作用於 Palm Pilot 的病毒或特洛伊木馬程序。 PDF/ 感染 Adobe PDF 文件的程序。 Perl/ 用 Perl 語言編寫的指令碼病毒或特洛伊木馬程序。 PHP/ 用 PHP 語言編寫的指令碼病毒或特洛伊木馬程序。 PP97M/巨集病毒。感染 Microsoft PowerPoint 97 文 件。 SunOS/可能對 Sun Solaris 有害的軟體。 SWF/ 可能對 Shockwave 有害的軟體。 Unix/ 作用於某個版本的 UNIX 的程序或 Shell 指令碼。 V5M/ 感染 Visio VBA (Visual Basic for Applications) 巨集或指令碼的巨集或指令碼病毒或特 洛伊木馬程序。 VBS/ 用 Visual Basic Script 語言編寫的指令碼病 毒或特洛伊木馬程序。 W16/ 在 16 位 Microsoft Windows 環境 (Windows 3.1x) 中執行的感染文件的病毒。 W2K/ 可能對 32 位 Microsoft Windows 環境(尤 其是 Windows NT、2000 或 XP)有害的軟體。 W32/ 在 32 位 Microsoft Windows 環境(Windows 95、Windows 98 或 Windows NT)中執行的 感染文件或啟始區的病毒。 W95/ 在 Microsoft Windows 95、Windows 98 和 Windows ME 環境中執行的感染文件的病毒。 W97M/ 感染 Microsoft Word 97 文件的巨集病毒。 WHLP/ 可能對 32 位 Microsoft Windows 環境中 Windows HLP 文件有害的軟體。 WM/ 感染 Microsoft Word 95 文件的巨集病毒。 X97M/ 感染 Microsoft Excel 97 文件的巨集病毒。 XF/ 通過 Excel 公式感染 Microsoft Excel 95 或 97 的巨集病毒。 XM/ 感染 Microsoft Excel 95 文件的巨集病毒。 特洛伊木馬程序類的前綴 BackDoor- 這樣的名稱表示屬於類似特洛伊木馬程序的可能有害 軟體。緊跟在類名稱後的附加字元表示一個系列(例如 BackDoor-JZ)或一個名稱(例如 BackDoor-Sub7)。 AdClicker- 重複訪問廣告贊助的網站。 Adware- 不經允許而安裝廣告軟體。 BackDoor- 通過 Internet 或網路進行遠端訪問或控制。 Dialer- 不經允許而播打電話。 DDoS- 作為「分佈式拒絕服務」元件執行。 Del- 移除文件。 Downloader- 從 Internet 下載軟體,通常傳送後門程序和密 碼盜竊程序,有時也傳送病毒。 Exploit- 利用某個薄弱環節或軟體的某個缺陷。 FDoS- 表示「資料氾濫拒絕服務」元件。 KeyLog- 記錄擊鍵以立即或以後傳送給攻擊者。 Kit- 表示為製造病毒或特洛伊木馬程序而設計的程序。 MultiDropper- 留下幾個特洛伊木馬程序或病毒(通常是幾個不同 的「後門」)。 Nuke- 利用遠端電腦上某個軟體的缺陷將電腦關閉。 ProcKill- 終止防病毒和安全產品的行程,並可能移除與這些 應用程式相關聯的文件。 PWS- 盜竊密碼。 Reboot- 重新啟動電腦。 Reg- 不加詢問而以您不需要的方式修改註冊表。例如, 降低安全性設定或產生異常關聯或設定。 Spam- 作為垃圾郵件傳送工具執行。 Spyware- 監控瀏覽行為或其他行為並向外傳送訊息,通常用 於未被請求的廣告。 Uploader- 向外傳送電腦中的文件或其他資料。 Vtool-表示病毒作者或黑客使用的軟體開發程序。 Zap- 清空硬碟的部分或全部內容。 中綴 這些名稱通常出現在病毒名稱的中間。AVERT 指定的這些名稱可 能與業界慣例不同。 .cmp. 被病毒增加到現有可執行文件中的伴隨文件。我們 的防病毒軟體會移除伴隨文件以防止它們進一步 感染。 .mp. DOS 下的古董級多重分裂病毒。 .ow. 覆蓋型病毒。表示會覆蓋文件資料而且造成無法挽 回的損失的病毒。必須移除這個文件。 後面 這些名稱通常出現在病毒名稱的最後。病毒名稱可以有多個後面。 例如,一個後面可能表示病毒變種,而其他後面負責提供附加訊息。 @M 速度比較慢的郵件傳送程序。這種病毒通過電子郵 件系統傳播。它通常會立刻回覆收到的郵件、將自 身附加在要傳送的郵件中或者只傳送到一個電子 郵件位址。 @MM 傳送大量郵件。這種病毒不但能用標準技術自行傳 播,也能通過電子郵件系統傳播。 .a - .zzz 病毒變種。 根據 CARO(電腦防病毒研究組織)命名慣例,廠商可以採用以! 字元開頭的後面。我們的軟體使用下列後面: apd 附加的病毒。可以將其程式碼附加到文件中、但不能 正確複製的病毒。 bat 用 BAT 語言編寫的軟體元件。 cav 鑽空病毒。這表示將自己複製到程式文件「空洞」 部分(例如全是零的區域)中的病毒。 cfg Internet 特洛伊木馬程序(前綴通常為 BackDoor-)的組態元件。 cli Internet 特洛伊木馬程序(前綴通常為 BackDoor-)的客戶端元件。 dam 損壞的文件。因感染病毒而損壞或破壞的文件。 demo 執行可能有害的操作(例如如何利用安全隱患)的 程序。 dr 負責放置病毒的文件。這個文件負責將病毒引入到 宿主程序中。 gen 一般檢測。我們的軟體程序不使用特定的程式碼串即 可檢測到這種病毒。 ini 當它是另一種病毒的一個組成部分時,是一個 mIRC 或 pIRCH 指令碼。 intd 「故意」的病毒。這種病毒具有普通病毒的大部分 特徵,但不能正確複製。 irc 可能有害的軟體的 IRC 元件。 js JavaScript 中的可能有害的軟體元件。 kit 用「病毒設計工具」編寫的病毒或特洛伊木馬程序。 p2p 通過點對點通訊功能發揮作用的可能有害的軟體。 例如 Gnutella 和 Kazaa。 sfx 特洛伊木馬程序的自解壓縮安裝實用程序。 src 病毒來源碼。它通常不能複製或感染文件,但負責 放置病毒的某些程序會將這個文件增加到病毒中。 我們的產品通常會標記帶有這種附加程式碼的文件, 以便將其移除。 sub 替代病毒。它會替代宿主文件,這樣感染了病毒的 所有宿主都會具有同樣的大小,而且變成真正的病 毒。(即覆蓋型病毒的一個子類。) svr Internet 特洛伊木馬程序(前綴通常為 BackDoor)的伺服器端元件。 vbs 用 Visual Basic Script 語言編寫的可能有 害的軟體元件。 worm 一種能夠自我複製的非寄生性病毒,或是一種可以 通過將自身複製到遠端電腦進行傳播或以任何 文件傳輸方式(例如遠端共享、點對點、即時通訊、 IRC 文件傳輸、FTP 以及 SMTP)在網路中傳 播的病毒。 一般檢測 我們的軟體能夠事先全面檢測到大量可能有害的軟體。大多數情況 下,即使 AVERT 沒有收到樣本,也能夠成功清除這些對象。檢測 到的這些病毒名稱中有 Generic 或 gen 後面。 要向 AVERT 提交樣本,請訪問 AVERT 主頁。請參閱「與 McAfee Security 和 Network Associates 聯係」。 啟髮式檢測 我們的軟體能夠啟髮式地檢測到大量可能有害的新軟體。檢測到的 這些軟體名稱中有 New 前綴(例如 New Worm 和 New Win32)。 要提交由啟髮式掃瞄功能檢測到的樣本,請訪問 AVERT 主頁。http://myavert.avertlabs.com/myavert/ 請參閱「與 McAfee Security 和 Network Associates 聯係」。 應用程式檢測 我們的軟體能夠檢測到可能是您不需要的應用程式,但它們不屬於 病毒或特洛伊木馬程序。它們包括 Adware、Spyware、Dialer、 能隱藏自身的遠端訪問軟體以及許多用戶不想在電腦中使用的 其他類似應用程式。不需要的應用程式還包括「玩笑」程序,但您 可以使用掃瞄選項排除它們。 |
__________________ |
|
送花文章: 3,
|