2008年4月23日星期三

卡巴斯基的病毒分类及命名

卡巴斯基将所有的恶意程序分为四类:网络蠕虫、传统病毒、木马、其它恶意软件。

网络蠕虫指通过局域网或Internet传播,具有如下目标的程序——
渗透远程机器
在受害机器上加载自己的拷贝
进一步向新的机器传播网络蠕虫利用不同的网络系统进行传播:Email、及时通讯系统、文件共享系统(P2P)、IRC通道、局域网、广域网等等。

传统病毒是指那些在单个机器内传播自己拷贝的程序,它们的目的是:
当满足一定的条件时加载并执行自己的代码
在受害机器上渗透到其它资源
这类病毒不会象蠕虫一样,利用网络资源来渗透到其它机器。只有当被它们感染的目标被用户在其它机器上加载时,它们才能渗透到另一台没被感染的机器。

木马程序是指不被用户知晓的情况下,进行如下行为的广泛一类程序:
收集数据并发送给网络犯罪者
恶意改变或毁坏数据
导致计算机故障
利用被害计算机的能力进行恶意或犯罪目的,比如发送垃圾邮件

其它恶意软件包括黑客工具和其它一些恶意程序,比如:
病毒、木马或蠕虫的生成工具
制造恶意软件的程序库
加密被感染文件以逃避反病毒软件的黑客工具
妨碍电脑正常功能的玩笑程序
故意误导用户,使之不能正确了解其在系统中行为的程序
其它被设计来直接或间接波坏本地或网络计算机的程序

一、网络蠕虫网络蠕虫按照它们的传播途径又分为如下类型——
通过Email传播的蠕虫
通过及时通讯系统传播的蠕虫
通过Internet传播的蠕虫
通过IRC传播的蠕虫
通过文件共享网络传播的蠕虫

1.1 通过Email传播的蠕虫。这类蠕虫的特点就是会自动收集被感染机器上的邮件地址,并自动向外发送带毒(自身拷贝)的邮件。卡巴斯基命名为——
Email-Worm.HTML.xxx :利用Email传播,但感染方式是在邮件的HTML格式代码中包含可执行的ActiveX对象
Email-Worm.JS.xxx :包含在邮件中的恶意代码是Javascript程序
Email-Worm.VBS.xxx :包含在邮件中的恶意代码是Vb Script脚本
Email-Worm.PIF.xxx :包含在邮件中的病毒体是标准的windows PIF文件
Email-Worm.Win32.xxx :以邮件附件的方式传播的32位windows exe病毒
I-Worm.Win32.xxx :没有附件,只在自动发送的邮件中包含有发送邮件机器上带毒文件的链接Net-Worm.Win32.xxx :除了Email外,还能以多种方式通过网络传播

1.2 通过及时通讯系统传播的病毒。
IM-Worm.Mac.xxx, IM-Worm.OSX.xxx :这两类都是感染Mac OS X系统及其上的应用程序。IM-Worm.Win32.xxx :windows系统上的及时通讯蠕虫

1.3 通过Internet传播的蠕虫部分Email蠕虫也同时利用Internet传播,卡巴仍旧将它们命名为Email-Worm.xxxWorm.Win32.xxx :32位windows系统上的蠕虫,病毒体为win PE文件。Worm.SymbOS.xxx :Symbian OS上传播的蠕虫
Worm.SunOS.xxx :Solaris/SunOS 上传播的蠕虫,有一些会攻击IIS Server
Worm.OSX.xxx :Mac OSX上的蠕虫,有一些会通过蓝牙传播
Worm.FreeBSD.xxx :FreeBSD上传播的蠕虫
Net-Worm.Win32.xxx :利用Windows漏洞进行主动攻击并传播的蠕虫,比较著名的象冲击波、Nimda等
Net-Worm.Linux.xxx :利用Linux系统漏洞传播的蠕虫
Net-Worm.Perl.xxx :用Perl写的通过某些基于Perl的有漏洞的论坛传播的蠕虫

1.4 IRC聊天系统蠕虫。其实也是一种及时通讯蠕虫,但卡巴将它们单列出来了。
IRC-Worm.Win32.xxx :病毒体是win32可执行文件,自动向IRC的活动联系人发送带毒链接IRC-Worm.VBS.xxx :病毒体为VB Script,通过IRC通道传播
IRC-Worm.MSWord.xxx :能够利用IRC传播的Word宏蠕虫
IRC-Worm.IRC.xxx :在IRC内利用mIRC客户进行传播的蠕虫,本身可能是一个批命令或VBE程序IRC-Worm.DOS.xxx :病毒体为DOS可执行文件,利用mIRC客户传播

1.5 通过文件共享网络(P2P)传播的蠕虫。
P2P-Worm.Win32.xxx :目前只有这类,病毒体为Win32 PE文件,将自身拷入p2p系统的共享文件夹,有的会相应p2p请求并将自身传播给每个客户


二、传统病毒
2.1 文件或引导区病毒这类病毒非常多,卡巴命名第一个.分隔符前一般为Virus,第二个是操作系统,比如DOS、Win9x等
2.2 宏病毒
Macro.AmiPro.xxx
Macro.Excel.xxx
Macro.Excel97.xxx
Macro.Word.xxx
Macro.PPoint.xxx
Macro.MSWord.xxx...
第一部分为Macro,第二部分是应用程序的名字

2.3 脚本病毒
Virus.BAT.xxx :BAT脚本病毒
Virus.WinHLP.xxx :Windows帮助文件脚本病毒
Virus.JS.xxx :JavaScript脚本病毒
Virus.WinINT.xxx:Inf脚本病毒
Virus.PHP.xxx :PHP脚本病毒
Virus.VBS.xxx :VbScript脚本病毒

三、木马卡巴将木马按照其主要行为特征分为如下类型——

后门木马:被用于攻击者对受害机器远程控制的木马
普通木马:没有其它类典型特征的木马
偷密码的木马:主要目的是盗取系统密码的木马
点击木马:将被害机器上重定向到一个特定的Web站点或其它Internet资源
木马下载器:在用户不知情的情况下下载另一个木马或广告等其它恶意软件
木马释放器:在被害机器上释放并加载另外的木马
代理木马:这类木马在被害机器上象一个代理样运行,提供匿名的Internet访问。比如被垃圾邮件发送者用来发出垃圾邮件
间谍木马:这类木马收集并盗取受害机器上的按键、屏幕、应用程序日志等用户活动信息,经常被用来盗取用户的银行或其它金融信息

3.1 后门木马。
这类木马是远程控制工具,与正常的远程管理软件的区别在于它们是在用户不知情的情况下安装并加载的。
BackDoor.Win32.xxx
BackDoor.WinCE.xxx

3.2 普通木马
Trojan-AOL.Win32.xxx :AOL木马,一般表现为偷AOL密码
Trojan-SMS.J2ME.xxx :Java平台手机短消息木马
Trojan-SMS.SymbOS.xxx :SymbOS平台手机短消息木马
Trojan.BAT.xxx :BAT脚本写的木马
Trojan.DOS.xxx :DOS可执行程序木马
Trojan.JS.xxx :JavaScript脚本木马
Trojan.MSWord.xxx :MS Word宏木马
Trojan.SymbOS.xxx :Symbian OS系统上的木马
Trojan.VBS.xxx :VBS脚本写的木马
Trojan.Win32.xxx :一般的Win32程序木马

3.3 偷密码的木马
Trojan-PSW.Win32.xxx :体为Win32 PE程序
Trojan-PSW.VBS.xxx :VbScript写的偷密码木马

3.4 点击木马。这类木马主要有如下目的:
增加某特定网站的点击量,用于广告等目的
发动分布式拒绝服务攻击
引导受害机器到另一被感染的网络资源使之感染另一种病毒或木马
Trojan-Clicker.Win32.xxx :木马体为Win32 PE程序

3.5 木马下载器
Trojan-Downloader.Js.xxx :JavaScript写的木马下载器
Trojan-Downloader.VBS.xxx :VbScript写的木马下载器
Trojan-Downloader.Win32.xxx :本身是Win32 PE的木马下载器

3.6 木马释放器
Trojan-Dropper.Ichitaro.xxx :木马本身是一个Ichitaro文件(JTD),Ichitaro是日本最流行的文本编辑器
Trojan-Dropper.MSWord.xxx :木马本身是一个Word宏,被包含在一个Word文档中
Trojan-Dropper.JS.xxx :JavaScript写的木马释放器
Trojan-Dropper.VBS.xxx :VbScript写的木马释放器
Trojan-Dropper.Win32.xxx :本身是Win32 PE程序的木马释放器

3.7 代理木马
Trojan-Proxy.Win32.xxx :目前只有这一类,木马都是Win32 PE程序

3.8 间谍木马
Trojan-Spy.HTML.xxx :一类利用IE的框架欺骗漏洞(MS04-004)的间谍木马
Trojan-Spy.Linux.xxx :Linux系统的间谍木马
Trojan-Spy.Win32.xxx :Win32 PE程序的间谍木马
Trojan-Spy.SymbOS.xxx :SymbOS系统的间谍木马

四、其它恶意软件
这一大类包含如下分类——
拒绝服务(DoS)或分布式拒绝服务(DDoS)工具:利用受害机器对另外的对象发动拒绝服务攻击
黑客工具或漏洞利用工具:被黑客利用来渗透对方计算机系统,安装后门等
洪水攻击工具:发出大量不完整的网络包导致受攻击者网络瘫痪
病毒生成工具:用于制造或生成病毒
核弹工具:发送经过特殊编码的请求以利用系统漏洞导致受害机器出现致命错误

4.1 拒绝服务(DoS)或分布式拒绝服务(DDoS)工具
DoS.Linux.xxx :Linux下的DoS工具
DoS.Perl.xxx :Perl脚本写的拒绝服务攻击工具
DoS.Win32.xxx :Win32 PE程序的DoS工具

4.2 黑客工具或漏洞利用工具
Exploit.HTML.xxx :在HTML网页中利用IE漏洞的工具
Exploit.IFrame.xxx :利用IE的IFrame漏洞的攻击器
Exploit.IIS.xxx :利用IIS漏洞的攻击器
Exploit.JS.xxx :JavaScript写的漏洞利用器
Exploit.Linux.xxx :Linux系统的漏洞利用器
Exploit.Win32.xxx :Win32程序的漏洞利用器
HackTool.Win32.xxx :Win32程序的黑客工具

4.3 洪水攻击工具
Flooder.Win32.xxx :win32 PE程序的洪水攻击工具
Email-Flooder.Win32.xxx :通过Email发动洪水攻击的工具

4.4 病毒生成工具
Constructor.DOS.xxx :本身是一个DOS程序,能够用来生成DOS病毒
Constructor.MSWord.xxx :本身是Word宏,用来生成Word宏病毒
Constructor.VBS. xxx :VbScript写的病毒生成器,可以用来制作某些蠕虫
VirTool.DOS. xxx :DOS程序的病毒工具
VirTool.MSWord.xxx :Word宏的病毒工具
VirTool.Win32.xxx :Win32 PE程序的病毒工具
(源自互联网)

标签:


评论: 发表评论

订阅 博文评论 [Atom]





<< 主页

This page is powered by Blogger. Isn't yours?

订阅 博文 [Atom]