直到目前为止,整个安全行业对病毒的命名还没有统一标准,样本本身也没有标准的危险等级评定。不过,全球反病毒厂商提供的样本的命名结构,却大致相同。
这其中的渊源是:在当年病毒样本还很少的时候,各厂商之间都需要通过样本交换来扩充自己的样本库,当时由于卡巴斯基的杀毒软件做得最好、样本最全,因此各厂商都在用卡巴斯基反病毒软件扫描后的LOG文件做为样本交换的依据,因此在病毒命名上,各反病毒厂商或多或少都受到了卡巴斯基命名的影响。
了解了病毒命名规则,根据病毒名称就能知道该病毒大致产生的影响,这在客户现场,将会是一个会非常实用的沟通模型。
病毒命名基本上都是采用<类型标识>.<环境标识>.<家族标识>.<变种标识>.<扩展字段>这样的五段式结构。每段之间用 “.”或“:”来连接。前四段为必选项,第五段起为扩展字段,扩展字段主要用于标识其它重要信息或中文通用名称,可以为多组。
虽然各家反病毒公司的命名风格各异,但标准字段的含义大致相同。
“类型标识”就是前面文章中介绍的“行为特性分类法”里的那几十种,每种类型都有标准的行为特征,这些特征描述需要记住。
“环境标识”是指病毒赖以生存的软件环境,一般分为三大类:操作系统环境、脚本环境和宏环境。
“家族标识”就是我们常说的病毒名称,该字段是病毒与病毒之间最本质的区别,是病毒真正的名字,也是各反病毒厂商最不统一的地方。一般地,反病毒工程师会通过病毒的特性、文件特有特征、代码编写习惯等多种因素来确定病毒的家族。比如CIH病毒就是在病毒体内有一个特殊的字符串“CIH”,因此得名。 就象天体命名一样,反病毒行业里也有一个首发命名权的行规,一般大家会把首发厂商的病毒名称做为该病毒的标准名称。
“变种标识”是同一个病毒家族的不同版本,由于整体差异很小,因此会用单字母或叠字母的方式来命名,如果变种不超过26个,就从A到Z进行命名,如果超过26个,就用AA-ZZ这样的命名方式,并以此类推。
由于病毒完整名称的每一个分段都有明确的含义,因此看到病毒名称,就能大致推断出该病毒的行为特性。例如:Trojan.win32.Dropper.B就是一个在32位windows平台下的,一个木马病毒,该木马病毒运行时就会释放出其它恶意软件,这个样本是该病毒家族的第二个变种。
不过值得一提的是,实际上随着多引擎、机器学习等新技术的应用,病毒命名将会越来越乱,而且可读性会越来越差。比如上图Mcafee:the Generic PWS.ao Trojan这个名称,它是“麦克菲(Mcafee)”公司的一个病毒命名,Generic是机器学习提取的特征标识,从这个命名可以看出,它是一个通用的盗取密码的木马,而且变种已经超过26种。
如果想了解更多网络安全人和事,欢迎搜索微信公众号:锐安全,或下方扫码进入:
用户评论