教你一招，轻松变成反病毒高手

经常有人会发过来一个杀毒病毒报告截图，问我这个是什么病毒？能不能杀？一般我看完图片就会告诉他如何处理。可能有人认为世上的病毒加上变种何止上千万种，怎么可能一看名字就能知道怎么处理？其实，不是我厉害，看完本文，你也一样很厉害。

跟我们人一样，每个恶意程序都有自己的名字，我们经常听到一些病毒的名字，比如震网病毒、CIH病毒、熊猫烧香病毒等，这些都是中文名字，根据中文名字是判断不出来什么有价值的信息的，但不管中文名字怎么起，大部分的杀毒软件内部命名都遵循国际常见的恶意程序命名规则。这个规则就是“CARO公约”。

1991年的CARO（计算机反病毒研究组织）会议上，奠定了计算机病毒命名的初始行业共识原则，提出了最初的四段式命名法则，业内称之为“CARO公约”，卡巴斯基、赛门铁克、趋势科技、微软等国际安全厂商都以此为命名标准。

所谓的四段式命名是指：

类型.平台.名称.变种

类型：是指恶意的分类，如病毒、蠕虫、木马等。具体的分类各厂商有所不同，以后会详细介绍。

平台：是指该恶意程序运行的平台，包括操作系统、开发语言、硬件平台等，如W32、W64、JS、VBS、MSEXCEL等

名称：是指给检测对象的官方名称，有时是家族名。这个名称有的还可以细分为家族名.家庭名.恶意程序名。家族用来表示共享相同来源（作者、源代码）、操作原则或有效负载的一组检测对象。例如，恶意程序Trojan.Win32.StartPage。StartPage就是家族名，表示该病毒家族改变了互联网浏览器的开始页。

变种：是对检测到的对象的修改。变种可以用数字或字母表示，从  ‘.a’ – ‘.z’, ‘.aa’ – ‘.zz’ 等等。该变体不是全名的强制性部分，也可能不存在。

大部分的安全厂商都是基于CARO公约进行恶意程序的命名，有的也会在此基础上做小的修改，

比如：微软的命名是采取以下格式：

Type:Platform/family.Variant[!Suffixes]

**类型：平台/家族.变种[!后缀]
**

在类型中，微软将检测到的恶意软件分为恶意程序和不需要的软件两大类，恶意软件又分为包括病毒、木马、后门等14个大类，不需要的软件分为广告软件、捆绑软件等7类，并以此为基础定义了31种类型命名，如Exploit表示是一个漏洞利用型的恶意程序，Spyware表示是一个间谍类的恶意程序。

在平台方面，微软定义了操作系统、脚本语言、宏和其他文件四大类共计73种平台。如WIN64表示运行在64位windows平台，JS表示使用JAVASCRIPT脚本编写的。X97M表示运行在EXCEL97以上版本的EXCEL平台上的宏病毒。

其中后缀[!Suffixes]为非必选项，是为了提供更多额外的信息。

如Backdoor:Win32/Caphaw.D!lnk

表示这是一个后门程序（Backdoor:Win32/Caphaw.D）的快捷方式，该后门程序运行在在windows32位平台上，名字为Caphaw，变种序号为D，

微软对恶意程序的分类规则：

卡巴斯基的病毒命名规则为：

[Prefix:]Behaviour.Platform.Name[.Variant]

[前缀:]行为.平台.名字[.变种]

其中前缀标识了检测到该对象的子系统。前缀“HEUR：”用于表示启发式分析器检测到的对象，前缀“PDM：”用于表示主动防御模块检测到的对象。前缀不是全名的强制性部分，也可能不存在。

卡巴斯基将检测到的程序分为两大类：恶意程序和广告、色情及风险工具，恶意程序又分为四类：病毒和蠕虫、木马、可疑封装程序和恶意工具，在此基础上细化出了60种行为的恶意程序，如Trojan-downloader是一个下载型木马，在后台执行下载恶意程序，Trojan-Ransom表示是一个勒索型木马。

在平台方面，定义了操作系统、脚本语言、应用程序等48种运行平台，如W32表示运行在windows32位平台上，VBS表示该恶意程序是使用VBSCRIPT脚本编写的，MSEXCEL是表示该恶意程序是一个运行在EXCEL上的宏病毒。

所以，虽然世上的恶意程序有几千万种，但你只要知道了这个规律，只需要了解这几十种恶意程序的行为和特征，就可以轻松的处理绝大多数的恶意程序了。

具体到每一类定义的含义和特征，以及处理办法，我们下期再讲，敬请关注。

来，练习一下，这是我们在某客户那里得到的恶意程序报告，你看看，知道不知道这些都是什么类型的恶意程序？应该如何处理？

欢迎关注：大兵说安全