去除方法
使用安 巴尔的摩分类法是基于病毒mRNA的合成方式
全的杀毒软件清除。
病毒名
由以下6字段组成的:主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号#附属名称.附属名称变种号.病毒长度。其中字段之间使用“.”分隔,#号以后属于内部信息,为推举结构。
主行为类型与病毒子行为类型
病毒可能包含多个主行为类型,这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的主行为类型。同样的,病毒也可能包含多个子行为类型,这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的子行为类型。其中危害级别是指对病毒所在计算机的危害。 病毒主行为类型有是否显示的属性,用于生成病毒名时隐藏主行为名称。它与病毒子行为类型存在对应关系,见下表: 主行为类型 子行为类型 Backdoor 危害级别:1 说明: 中文名称—“后门”, 是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。 Worm 危害级别:2 说明: 中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。 Mail 危害级别:1 说明:通过邮件传播 IM 危害级别:2 说明:通过某个不明确的载体或多个明确的载体传播自己 MSN 危害级别:3 说明:通过MSN传播 QQ 危害级别:4 说明:通过OICQ传播 ICQ 危害级别:5 说明:通过ICQ传播 P2P 危害级别:6 说明:通过P2P软件传播 IRC 危害级别:7 说明:通过ICR传播 说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。 Trojan 危害级别:3 说明: 中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。 Spy 危害级别:1 说明:窃取用户信息(如:文件等) PSW 危害级别:2 说明:具有窃取密码的行为 DL 危害级别:3 说明:下载病毒并运行 一、判定条款: 没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行. 二、逻辑条件引发的事件: 事件1、.不能正常下载或下载的文件不能判定为病毒。 *** 作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL 事件2.下载的文件是病毒 *** 作准则: 下载的文件是病毒,确定为: Trojan.DL IMMSG 危害级别:4 说明:通过某个不明确的载体或多个明确的载体传播即时消息(这一行为与蠕虫的传播行为不同,蠕虫是传播病毒自己,木马仅仅是传播消息) MSNMSG 危害级别:5 说明:通过MSN传播即时消息 QQMSG 危害级别:6 说明:通过OICQ传播即时消息 ICQMSG 危害级别:7 说明:通过ICQ传播即时消息 UCMSG 危害级别:8 说明:通过UC传播即时消息 Proxy 危害级别:9 说明:将被感染的计算机作为代理服务器 Clicker 危害级别:10 说明:点击指定的网页 判定条款: 没有可调出的任何界面,逻辑功能为:点击某网页。 *** 作准则: 该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。 (该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定) Dialer 危害级别:12 说明:通过拨号来骗取Money的程序 说明:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述 AOL 按照原来病毒名命名保留。 Notifier 按照原来病毒名命名保留。 Virus 危害级别:4 说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。 Harm 危害级别:5 说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。 Dropper 危害级别:6 说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。 一.Dropper判定条款: 没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。 二.逻辑条件引发的事件: 事件1:.释放的文件不是病毒。 *** 作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper 事件2:释放的文件是病毒。 *** 作准则: 释放的文件是病毒,确定该文件为:Droper Hack 危害级别:无 说明:中文名称—“黑客工具”,是指可以在本地计算机通过网络攻击其他计算机的工具。 Exploit 说明:漏洞探测攻击工具 DDoser 说明:拒绝服务攻击工具 Flooder 说明:洪水攻击工具 说明:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述 Spam 说明:垃圾邮件。 Nuker Sniffer Spoofer Anti 说明:免杀的黑客工具 Binder 危害级别:无 说明:捆绑病毒的工具 正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。 Autorun 危害级别:9 说明:用U盘传播的系统文件(被利用) 这样的病毒杀毒软件查不出来 宿主文件 宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种。 JS 说明:JavaScript脚本文件 VBS 说明:VBScript脚本文件 HTML 说明:HTML文件 Java 说明:Java的Class文件 COM 说明:Dos下的Com文件 EXE 说明:Dos下的Exe文件 Boot 说明:硬盘或软盘引导区 Word 说明:MS公司的Word文件 Excel 说明:MS公司的Excel文件 PE 说明:PE文件 WinREG 说明:注册表文件 Ruby 说明:一种脚本 Python 说明:一种脚本 BAT 说明:BAT脚本文件 IRC 说明:IRC脚本
主名称
病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的,如果无法确定则可以用字符串”Agent”来代替主名称,小于10k大小的文件可以命名为“Samll”。
版本信息
版本信息只允许为数字,对于版本信息不明确的不加版本信息。
主名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位,并且都均为小写字母a—z,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。
附属名称
病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种: Client 说明:后门程序的控制端 KEY_HOOK 说明:用于挂接键盘的模块 API_HOOK 说明:用于挂接API的模块 Install 说明:用于安装病毒的模块 Dll 说明:文件为动态库,并且包含多种功能 (空) 说明:没有附属名称,这条记录是病毒主体记录
附属名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z,如果一位版本号不够用则最多可以扩展3位,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。
病毒长度
病毒长度字段只用于主行为类型为感染型(Virus)的病毒,字段的值为数字。字段值为0,表示病毒长度可变。
给你推荐一个网站吧__http://viruslist.rising.com.cn/antivirus/virusdataasp/allvirussublist.asp?categorysort=
电脑病毒的种类
电脑病毒一般分类如下:
开机磁区病毒
档案型病毒
巨集病毒
其他新种类的病毒
资料由香港特别行政区政府资讯科技署提供
开机磁区病毒
在九十年代中期以前,开机磁区病毒是最常见的病毒种类。这种病毒藏於已受感染的硬磁碟机的主开机磁区,或磁碟 *** 作系统开机磁区内。当软磁碟插入已受感染的个人电脑时,病毒便会把软磁碟开机磁区感染,藉此把病毒扩散。
使用受感染的软磁碟进行启动程序时,电脑便会受到感染。在启动电脑的过程中,基本输入输出系统会执行驻於软磁碟开机磁区的病毒编码,因此系统便改为受病毒控制。病毒控制了电脑系统后,便会把病毒编码写入硬磁碟的主开机磁区。之后,便会恢复正常的启动程序。从用户的角度来看,一切情况似乎与正常无异。
日后启动电脑时,驻於受感染的主开机磁区的病毒便会启动执行。因此,病毒会进入记忆体,并可随时感染其他经使用的软磁碟。
[主开机磁区是硬磁碟的第一个磁区,这个磁区载有执行 *** 作系统的分割控制表及编码。主开机磁区后的16个或以上的磁区通常是空置不用的。
硬磁碟机最多可分割为4个储存分区,而磁碟 *** 作系统的扩展分区可细分为多个逻辑驱动器。
每个分区的第一个磁区便是开机磁区,这个磁区包含载入分区的 *** 作系统的资料及编码。
软磁碟没有主开机磁区。以标准磁碟 *** 作系统格式进行格式化后的软磁碟,在结构上与硬磁碟的磁碟 *** 作系统分区相同。]
档案型病毒
档案型病毒是一种依附在档案内,经由程式档而非资料档扩散的病毒。电脑在执行受感染的程式时,便会受到感染。这些受感染的程式可能经由软磁碟、唯读光碟、网络及互联网等途径传播。在执行受感染的程式后,随附的病毒便会立即感染其他程式,或可能成为一个常驻程式,以便在日后感染其他程式。在完成这些步骤后,病毒便会恢复执行原本的正常程式。因此,用户在执行受感染的程式时,不易发觉有任何异常的情况。
档案型病毒一般会感染有特定副档名的档案。副档名为COM、EXE及SYS的档案,均是常见的病毒感染对象。
巨集病毒
一九九五年七月,一种新的电脑病毒被人发现,立即使电脑界大感震惊。这种新的病毒称为巨集病毒,它与一直以来出现的病毒不同,可感染资料档而非执行档。其实,这并非一种新的概念,因为有关以巨集语言编写病毒的可行性的研究,始於八十年代后期。在Word程式出现的巨集病毒可以在多个不同的 *** 作平台活动,而且,只要电脑的Word程式是支援Word 档案格式的话,便有机会受到感染。换言之,无论使用的是OS/2或Windows版本的Word程式,或是个人电脑或麦金塔(Macintosh)电脑,也可能受到巨集病毒的感染。
其他新种类的病毒
病毒和抗御病毒技术不断转变,日新月异。随著电脑用户使用新的 *** 作平台/电脑技术,编写病毒的人也会随之而发展新病毒,再作扩散。下文列出部分可能出现新病毒种类的新 *** 作平台/电脑技术:
Java
ActiveX
Visual Basic (VB) Script
HTML
Lotus Notes
Java
Java 病毒一直是一个富争议的话题:究竟可否编写Java 病毒?Java 病毒可否在电脑之间或经由互联网扩散?以上问题,均曾在不同的新闻组进行讨论。由於Java微应用程式的设计是在受控的环境 (称为「sandbox」) 内执行,接触不到电脑的档案或网络的接驳,因此,Java病毒在电脑之间扩散的可能性极低。
但由於 Java 亦像其他标准的程式一样,可让开发人员建立可控制整个系统的应用程式,故Java 病毒有其产生及存在的空�%E
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)