经常有人会发过来一个杀毒病毒报告截图,问我这个是什么病毒?能不能杀?一般我看完图片就会告诉他如何处理。可能有人认为世上的病毒加上变种何止上千万种,怎么可能一看名字就能知道怎么处理?其实,不是我厉害,看完本文,你也一样很厉害。
跟我们人一样,每个恶意程序都有自己的名字,我们经常听到一些病毒的名字,比如震网病毒、CIH病毒、熊猫烧香病毒等,这些都是中文名字,根据中文名字是判断不出来什么有价值的信息的,但不管中文名字怎么起,大部分的杀毒软件内部命名都遵循国际常见的恶意程序命名规则。这个规则就是“CARO公约”。
1991年的CARO(计算机反病毒研究组织)会议上,奠定了计算机病毒命名的初始行业共识原则,提出了最初的四段式命名法则,业内称之为“CARO公约”,卡巴斯基、赛门铁克、趋势科技、微软等国际安全厂商都以此为命名标准。
所谓的四段式命名是指:
类型.平台.名称.变种
类型:是指恶意的分类,如病毒、蠕虫、木马等。具体的分类各厂商有所不同,以后会详细介绍。
平台:是指该恶意程序运行的平台,包括操作系统、开发语言、硬件平台等,如W32、W64、JS、VBS、MSEXCEL等
名称:是指给检测对象的官方名称,有时是家族名。这个名称有的还可以细分为家族名.家庭名.恶意程序名。家族用来表示共享相同来源(作者、源代码)、操作原则或有效负载的一组检测对象。例如,恶意程序Trojan.Win32.StartPage。StartPage就是家族名,表示该病毒家族改变了互联网浏览器的开始页。
变种:是对检测到的对象的修改。变种可以用数字或字母表示,从 ‘.a’ – ‘.z’, ‘.aa’ – ‘.zz’ 等等。该变体不是全名的强制性部分,也可能不存在。
大部分的安全厂商都是基于CARO公约进行恶意程序的命名,有的也会在此基础上做小的修改,
比如:微软的命名是采取以下格式:
Type:Platform/family.Variant[!Suffixes]
**类型:平台/家族.变种[!后缀]
**
在类型中,微软将检测到的恶意软件分为恶意程序和不需要的软件两大类,恶意软件又分为包括病毒、木马、后门等14个大类,不需要的软件分为广告软件、捆绑软件等7类,并以此为基础定义了31种类型命名,如Exploit表示是一个漏洞利用型的恶意程序,Spyware表示是一个间谍类的恶意程序。
在平台方面,微软定义了操作系统、脚本语言、宏和其他文件四大类共计73种平台。如WIN64表示运行在64位windows平台,JS表示使用JAVASCRIPT脚本编写的。X97M表示运行在EXCEL97以上版本的EXCEL平台上的宏病毒。
其中后缀[!Suffixes]为非必选项,是为了提供更多额外的信息。
如Backdoor:Win32/Caphaw.D!lnk
表示这是一个后门程序(Backdoor:Win32/Caphaw.D)的快捷方式,该后门程序运行在在windows32位平台上,名字为Caphaw,变种序号为D,
微软对恶意程序的分类规则:
卡巴斯基的病毒命名规则为:
[前缀:]行为.平台.名字[.变种]
其中前缀标识了检测到该对象的子系统。前缀“HEUR:”用于表示启发式分析器检测到的对象,前缀“PDM:”用于表示主动防御模块检测到的对象。前缀不是全名的强制性部分,也可能不存在。
卡巴斯基将检测到的程序分为两大类:恶意程序和广告、色情及风险工具,恶意程序又分为四类:病毒和蠕虫、木马、可疑封装程序和恶意工具,在此基础上细化出了60种行为的恶意程序,如Trojan-downloader是一个下载型木马,在后台执行下载恶意程序,Trojan-Ransom表示是一个勒索型木马。
在平台方面,定义了操作系统、脚本语言、应用程序等48种运行平台,如W32表示运行在windows32位平台上,VBS表示该恶意程序是使用VBSCRIPT脚本编写的,MSEXCEL是表示该恶意程序是一个运行在EXCEL上的宏病毒。
所以,虽然世上的恶意程序有几千万种,但你只要知道了这个规律,只需要了解这几十种恶意程序的行为和特征,就可以轻松的处理绝大多数的恶意程序了。
具体到每一类定义的含义和特征,以及处理办法,我们下期再讲,敬请关注。
来,练习一下,这是我们在某客户那里得到的恶意程序报告,你看看,知道不知道这些都是什么类型的恶意程序?应该如何处理?
欢迎关注:大兵说安全
