计算机病毒命名规则

1、各类计算机病毒命名规则 其实只要掌握一些病毒的命名规则，就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。目前全世界流行的病毒大约有8万种，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。一般格式为：<病毒前缀>.<病毒名>.<病毒后缀> 。病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。病毒名是指一个病毒的家族

2、特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”“振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强 _），可以采用数字与字母混合表示变种标识。综上所述，一个病毒的前缀对于快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能知道现在在你机子里呆着的病毒是哪个变种。下面附带一些

3、常见的病毒前缀的解释（针对用得最多的Windows操作系统）：1、系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。2、蠕虫病毒蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。3、木马病毒、黑客病毒“密码”的英文“password”4、脚本病毒5、 宏病毒其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此

4、在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该

5、类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。6、后门病毒后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。7、病毒种植程序病毒8破坏性程序病毒9玩笑病毒玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒

6、。10捆绑机病毒 11. 其他 有时候还会看到一些其他的，但比较少见，这里简单提一下：DoS：会针对某台主机或者服务器进行DoS攻击；Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况，达到知己知彼的效果。在杀毒无法自动查杀，打算采用手工方式的时候这些信息会给你很大的帮助。 安全相关 计算机通用病毒定义及命名规范详解计算机, 详解, 定义, 规范小贴士：如果本帖未能解

7、决你的问题，请点此提问,热心卡饭将会帮助你解决各种计算机安全问题！计算机通用病毒定义及命名规范详解病毒名是由以下6字段组成的：主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号#附属名称.附属名称变种号.病毒长度。其中字段之间使用“.”分隔，#号以后属于内部信息，为推举结构。主行为类型与病毒子行为类型病毒可能包含多个主行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的主行为类型。同样的，病毒也可能包含多个子行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的子行为类型。其中危害级别是指对病毒所在计算机的危害。病毒主行为类型

8、有是否显示的属性，用于生成病毒名时隐藏主行为名称。它与病毒子行为类型存在对应关系，见下表：主行为类型子行为类型Backdoor危害级别：1说明：中文名称“后门”， 是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制，而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例，它们之间的区别在于“后门”可以对被感染的系统进行远程控制（如：文件管理、进程控制等）。Worm危害级别：2说明：中文名称“蠕虫”，是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件（如：MSN、OICQ、IRC等）、可移动存储介质（如：U盘、软盘），这些方式传播自

9、己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。Mail危害级别：1说明：通过邮件传播IM危害级别：2说明：通过某个不明确的载体或多个明确的载体传播自己MSN危害级别：3说明：通过MSN传播QQ危害级别：4说明：通过OICQ传播ICQ危害级别：5说明：通过ICQ传播P2P危害级别：6说明：通过P2P软件传播IRC危害级别：7说明：通过ICR传播说明：不依赖其他软件进行传播的传播方式，如：利用系统漏洞、共享目录、可移动存储介质。Trojan危害级别：3说明：中文名称“木马”，是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行，而且用户无法通过正常的方法禁止其运

10、行。这种病毒通常都有利益目的，它的利益目的也就是这种病毒的子行为。Spy危害级别：1说明：窃取用户信息（如：文件等）PSW危害级别：2说明：具有窃取密码的行为DL危害级别：3说明：下载病毒并运行一、判定条款:没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行.二、逻辑条件引发的事件:事件1、.不能正常下载或下载的文件不能判定为病毒。操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL事件2.下载的文件是病毒操作准则: 下载的文件是病毒,确定为: Trojan.DLIMMSG危害级别：4说明：通过某个不明确的载体或多个明确的载体传播即时消息（这一行为与蠕虫的

11、传播行为不同，蠕虫是传播病毒自己，木马仅仅是传播消息）MSNMSG危害级别：5说明：通过MSN传播即时消息QQMSG危害级别：6说明：通过OICQ传播即时消息ICQMSG危害级别：7说明：通过ICQ传播即时消息UCMSG危害级别：8说明：通过UC传播即时消息Proxy危害级别：9说明：将被感染的计算机作为代理服务器Clicker危害级别：10说明：点击指定的网页判定条款:没有可调出的任何界面,逻辑功能为:点击某网页。操作准则:该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定)Dialer危

12、害级别：12说明：通过拨号来骗取Money的程序说明：无法描述其利益目的但又符合木马病毒的基本特征，则不用具体的子行为进行描述AOL按照原来病毒名命名保留。Notifier按照原来病毒名命名保留。Virus危害级别：4说明：中文名称“感染型病毒”，是指将病毒代码附加到被感染的宿主文件（如：PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件）中，使病毒代码在被感染宿主文件运行时取得运行权的病毒。Harm危害级别：5说明：中文名称“破坏性程序”，是指那些不会传播也不感染，运行后直接破坏本地计算机（如：格式化硬盘、大量删除文件等）导致本地计算机无法正常使用的程序。Dropper危害级别：

13、6说明：中文名称“释放病毒的程序”，是指不属于正常的安装或自解压程序，并且运行后释放病毒并将它们运行。一Dropper判定条款:没有可调出的任何界面，逻辑功能为:自释放文件加载或运行。二逻辑条件引发的事件:事件1：.释放的文件不是病毒。操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper事件2：释放的文件是病毒。操作准则: 释放的文件是病毒，确定该文件为:DroperHack危害级别：无说明：中文名称“黑客工具”，是指可以在本地计算机通过网络攻击其他计算机的工具。Exploit说明：漏洞探测攻击工具DDoser说明：拒绝服务攻击工具Floo

14、der说明：洪水攻击工具说明：不能明确攻击方式并与黑客相关的软件，则不用具体的子行为进行描述Spam说明：垃圾邮件。NukerSnifferSpooferAnti说明：免杀的黑客工具Binder危害级别：无说明：捆绑病毒的工具正常软件功能组件标识条款：被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件：文件版本信息,软件信息（注册表键值、安装目录）等。宿主文件宿主文件是指病毒所使用的文件类型，有是否显示的属性。目前的宿主文件有以下几种。JS说明：JavaScript脚本文件VBS说明：VBScript脚本文件HTML说明：HTML文件Java说明：Java的Class文件COM说明：

15、Dos下的Com文件EXE说明：Dos下的Exe文件Boot说明：硬盘或软盘引导区Word说明：MS公司的Word文件Excel说明：MS公司的Excel文件PE说明：PE文件WinREG说明：注册表文件Ruby说明：一种脚本Python说明：一种脚本BATBAT脚本文件IRC说明：IRC脚本主名称病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的，如果无法确定则可以用字符串”Agent”来代替主名称，小于10k大小的文件可以命名为“Samll”。版本信息版本信息只允许为数字，对于版本信息不明确的不加版本信息。主名称变种号如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位，并且都均为小写字母az，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。附属名称病毒所使用的有辅助功能的可运行的文件，通常也作为病毒添加到病毒库中，这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种：Client 说明：后门程序的控制端KEY_HOOK 说明：用于挂接键盘的模块API_HOOK 说明：用于挂接API的模块Install说明：用于安装病毒的模块Dll说明：文