計算機病毒具有寄生性、傳染性、潛伏性、爆炸性和破壞性,屬於計算機軟件。
主要行為類型和病毒子行為類型
壹個病毒可能包含多種主要行為類型。在這種情況下,具有最高危險等級的主要行為類型可以由每個主要行為類型的危險等級來確定。同樣,壹個病毒可能包含多個子行為類型。在這種情況下,具有最高危險等級的子行為類型可以由每個主要行為類型的危險等級來確定。危險等級是指病毒所在計算機的危險程度。
病毒主要行為類型具有是否顯示的屬性,用於在生成病毒名稱時隱藏主要行為名稱。它與病毒子行為類型有對應關系,如下表所示:
主行為類型子行為類型
秘密的
危險等級:1
描述:
中文名——“後門”是指在用戶不知情、不允許的情況下,通過隱藏方式運行,可以遠程控制被感染的系統,用戶無法通過正常方法禁止其運行。“借殼”實際上是特洛伊馬的壹個特例。兩者的區別在於“後門”可以遠程控制被感染的系統(如文件管理和進程控制)。
蟲
危險等級:2
描述:
中文名——“蠕蟲”是指利用系統漏洞,外發郵件,目錄,可以傳輸文件的軟件(如MSN,OICQ,IRC等。)和移動存儲介質(如u盤和軟盤)來傳播自己的病毒。這種類型的病毒亞型行為類型用於表示病毒使用的傳播方式。
郵件
危險等級:1
描述:通過郵件傳播
即時信息
危險等級:2
描述:通過壹個模棱兩可的載體或多個明確的載體傳播自己。
微軟網絡
危險等級:3
描述:通過MSN傳播
即時通信軟件
危險等級:4
描述:通過OICQ傳播
網路呼叫器(壹種網絡通訊軟件?等於I Seek You)
危險等級:5
描述:通過ICQ傳播
對等網絡
危險等級:6
描述:通過P2P軟件傳播。
因特網中繼會談
危險等級:7
描述:傳遍ICR
描述:不依賴於其他軟件的通信方法,例如利用系統漏洞、共享目錄和可移動存儲介質。
特洛伊
危險等級:3
描述:
中文名——“特洛伊馬”是指在用戶不知情、未經用戶許可的情況下,在被感染系統上以隱藏的方式運行,用戶無法通過正常方法禁止其運行。這種病毒通常有壹個利益目的,其利益目的也是這種病毒的子行為。
間諜
危險等級:1
描述:竊取用戶信息(如文件等。)
畢業生工作簽證
危險等級:2
描述:具有竊取密碼的行為。
分升
危險等級:3
描述:下載病毒並運行。
壹、判決條款:
沒有可以調出的界面。邏輯功能是:從壹個網站下載文件來加載或運行。
二、邏輯條件觸發的事件:
事件1..不能正常下載或者下載的文件不能判斷為病毒。
運行標準:如果文件不能滿足正常軟件功能組件的標識條件,則判定為:特洛伊。分升
事件2。下載的文件是病毒。
操作指南:下載的文件是病毒,確定為:特洛伊。分升
IMMSG
危險等級:4
描述:通過壹個不明確的載體或者多個明確的載體傳播即時消息(這種行為與蠕蟲不同,蠕蟲本身傳播病毒,而木馬只傳播消息)。
MSNMSG
危險等級:5
描述:通過MSN傳播即時消息。
QQMSG
危險等級:6
描述:通過OICQ傳播即時消息。
ICQMSG
危險等級:7
描述:通過ICQ傳播即時消息
UCMSG
危險等級:8
描述:通過UC傳播即時消息。
代理人
危險等級:9
描述:將受感染的計算機用作代理服務器。
點擊器
危險等級:10
描述:點擊指定的網頁。
判斷條款:
沒有可以調出的界面,邏輯功能是:點擊壹個網頁。
操作原則:
如果該文件不符合正常軟件功能組件的識別條件,則確定為:Trojan.Clicker。
(如果文件符合正常軟件功能組件的識別條款,將參照流氓軟件判定規則判定流氓軟件。)
撥號器
危險等級:12
描述:撥號騙錢的過程。
註:如果無法描述其利益和目的,但符合特洛伊病毒的基本特征,則無需用具體的子行為進行描述。
美國境內提供線上加值網絡服務的公司(American On Line)
保留原來的病毒名稱。
通知人
保留原來的病毒名稱。
病毒
危險等級:4
描述:中文名——“傳染病毒”是指在被感染的主機文件(如PE文件、DOS下的COM文件、VBS文件、帶有可執行宏的文件)中附加病毒代碼,使病毒代碼在被感染的主機文件運行時獲得運行權的病毒。
損害
危險等級:5
說明:中文名——“破壞性程序”是指那些不會傳播、不會感染,運行後直接破壞本地電腦的程序(如格式化硬盤、刪除大量文件等。),導致本地電腦無法正常使用。
使滴下的東西
危險等級:6
說明:中文名——“釋放病毒的程序”是指不屬於正常安裝或自解壓,運行後釋放病毒並運行的程序。
我。放棄者判斷條款:
沒有可以調出的接口,邏輯功能是:加載或運行自發布文件。
2.邏輯條件觸發的事件:
事件1:。發布的文件不是病毒。
操作指南:如果釋放的文件與釋放器本身沒有邏輯關系,且文件不符合正常軟件功能組件的識別條件,則判定為:Droper。
事件2:發布的文件是病毒。
操作指南:發布的文件是病毒,文件確定為:Droper。
砍
危險等級:無
說明:中文名——“黑客工具”是指可以通過網絡攻擊本地電腦上其他電腦的工具。
剝削
描述:漏洞檢測攻擊工具
DDoser
描述:拒絕服務攻擊工具
洪水泛濫者
描述:洪水攻擊工具
註:黑客相關的軟件,攻擊方式不清楚,不具體子行為描述。
垃圾郵件
描述:垃圾郵件。
努克爾
嗅探器
幽默諷刺詩文的作者
反對
描述:免殺黑客工具。
粘合劑
危險等級:無
描述:綁定病毒的工具。
正常軟件的功能組件識別條款:被檢查的文件包含以下信息以識別該文件是正常軟件的功能組件:文件版本信息、軟件信息(註冊表鍵值、安裝目錄)等。
自動運行
危險等級:9
描述:通過u盤傳播的系統文件(已用)
這樣的病毒殺毒軟件是查不出來的。
宿主文件
宿主文件是指病毒使用的文件類型,具有是否顯示的屬性。目前,有以下主機文件。
JS描述:JavaScript腳本文件
VBS描述:VBScript腳本文件
HTML描述:HTML文件
Java描述:Java類文件
Com描述:Dos下的COM文件
Exe描述:Dos下的EXE文件
引導描述:硬盤或軟盤引導區
Word描述:微軟公司的Word文件
Excel描述:MS公司的Excel文件
PE描述:PE文件
WinREG描述:註冊表文件
Ruby描述:壹個腳本
Python描述:壹個腳本
BAT描述:BAT腳本文件
IRC描述:IRC腳本
主要名稱
病毒的主要名稱由分析師根據病毒體使用的特征字符串、特定行為或編譯平臺來確定。如果不確定,可以用字符串“Agent”代替主名,大小小於10k的文件可以命名為“Samll”。
版本信息
版本信息只允許是數字,版本信息不清楚不添加版本信息。
主要名稱品種編號
如果病毒的主要行為類型、行為類型、宿主文件類型和主要名稱都相同,則認為是同壹家族的病毒。這時候就需要變種號來區分不同的病毒記錄。如果壹個版本號不夠,最多可以擴展3位數,而且都是小寫字母A-Z,比如aa,ab,aaa,aab等等。由系統自動計算,無需人工輸入或選擇。
子公司名稱
病毒所使用的具有輔助功能的可執行文件通常作為病毒添加到病毒庫中,這類病毒記錄需要有附屬名稱,以區別於病毒主體的病毒記錄。目前,有以下子公司名稱:
客戶端描述:後門程序的控制終端。
KEY_HOOK描述:用於掛鉤鍵盤的模塊。
API_HOOK描述:掛鉤API的模塊。
安裝描述:安裝病毒的模塊。
Dll描述:該文件是壹個動態庫,包含許多函數。
(空)描述:沒有附加名稱,該記錄是該病毒的主要記錄。
從屬名稱品種編號
如果病毒的主要行為類型、行為類型、宿主文件類型、主要名稱、主要名稱變異數和附屬名稱都相同,則認為是同壹個家族的病毒,然後需要變異數來區分不同的病毒記錄。變體號為不發音字母A-Z,如果壹個版本號不夠,最多可以擴展三位,如aa、ab、aaa、aab等。由系統自動計算,無需人工輸入或選擇。
病毒長度
病毒長度字段僅用於主要行為類型為病毒的病毒,字段值為數字。字段值為0表示病毒長度可變。
病毒欺騙:警戒度★★★,蠕蟲病毒,通過郵件傳播,依賴系統:WIN9X/NT/2000/XP。
這個病毒是用VB語言寫的。運行後,它可能會將自身復制到多個系統文件夾中的任何壹個。病毒文件名隨機生成,文件類型不確定。可以終止各種殺毒軟件的運行。發送大量帶有“妳的詳細資料”、“妳被黑了!”、“郵件發送失敗”等。,電子郵件附件是病毒。
反病毒專家建議:建立良好的安全習慣,不要打開可疑郵件和可疑網站;關閉或刪除系統中不必要的服務;很多病毒都是利用漏洞來傳播的,所以壹定要及時給系統打補丁;安裝專業的殺毒軟件進行實時監控,上網時隨時開啟殺毒軟件的實時監控功能。