殺毒軟件的報(bào)毒基本遵循一套原則，就是“CARO”原則，由反病毒專家聯(lián)盟 CARO提出，遵循以下格式：

<威脅類型>.<平臺>.<惡意軟件系列>.<變體>.<其他信息*>

卡巴斯基在此基礎(chǔ)上添加了前綴：

[前綴:]<威脅類型/行為>.<平臺>.<惡意軟件家族><.變體><其他信息>

該前綴標(biāo)識檢測到該對象的子系統(tǒng)。

前綴“HEUR：”用于表示啟發(fā)式分析器檢測到的對象；

前綴“PDM：”用于表示主動防御模塊檢測到的對象。

前綴不是全名的必需部分，并且可能不存在。

前綴這一部分，是卡巴斯基實(shí)驗(yàn)室反病毒數(shù)據(jù)庫早期提出，該司在2007年推出的一個啟發(fā)式模塊，當(dāng)該模塊檢測到對象時，對象的名稱以“HEUR:”前綴開頭。

主動防御模塊是監(jiān)視系統(tǒng)中應(yīng)用程序執(zhí)行的操作順序的模塊，如果檢測到可疑活動，則阻止該應(yīng)用程序進(jìn)行進(jìn)一步的活動。如果 是PDM 檢測到某個威脅程序，則該威脅程序的名稱以“PDM:”前綴開頭。

這兩個模塊都分析對象的活動（或活動序列）。如果該活動是典型的惡意程序，則啟發(fā)式分析器或 PDM 將檢測到該對象。

威脅類型/行為代表主要威脅類別，描述威脅的主要行為是什么。

對于惡意軟件：Trojan（木馬）、Worm（蠕蟲）、Virus（病毒）、Ransomware（勒索軟件）、Coinminer（挖礦） 和Backdoor（后門）是我們最常見的威脅類型。

對于灰色軟件：Adware廣告軟件、Spyware間諜軟件和 PUA 是最常見的威脅類型。

在這里講一下常見的威脅類型和他們的一些對應(yīng)操作，以后大家碰到報(bào)毒也可以對著看看究竟是哪部分出了問題：

平臺是指惡意軟件開發(fā)時，設(shè)定的能夠執(zhí)行的環(huán)境，涵蓋軟件和硬件。這包括操作系統(tǒng)：Windows（Win32、Win64）、Mac OS、Linux 和 Android，以及編程語言和文件格式（Microsoft Word/Excel/PowerPoint）。

對于可以在多個平臺上運(yùn)行的檢測到的對象，該項(xiàng)被命名為為“Multi（多）”。Virus.Multi.Etapux 是多平臺惡意程序的示例之一。該程序會感染 Windows 和 Linux 操作系統(tǒng)的可執(zhí)行文件。

用于表示一組具有相同來源（作者、源代碼）、操作原理或有效負(fù)載的檢測到的對象。每個家族都是根據(jù)其表現(xiàn)的行為來命名的。常見的就是：Generic、Infector、AntiAV、KillFiles等。

為了識別一個家族中不同惡意軟件的變體，字母按順序使用并稱為變體，從“.a”開始：“.a”-“.z”、“.aa”-“.zz”等。

變體不是全名的強(qiáng)制部分，并且可能不存在。

被認(rèn)為有助于進(jìn)一步了解某些復(fù)雜威脅的信息可以利用命名方案的這個可選部分。例如，dldr 表示下載器。因此，檢測名稱 Ransom.Win32.Locky.A.dldr 提供的信息表明該威脅程序是 Locky Ransomware 的下載程序。

舉一些惡意軟件的分類和他們的作用：

HEUR:Worm.[Platform].Generic

此分類涵蓋的對象在遠(yuǎn)程計(jì)算機(jī)上運(yùn)行搜索，并嘗試將自身復(fù)制到讀/寫可訪問目錄、使用操作系統(tǒng)功能搜索可訪問網(wǎng)絡(luò)目錄和/或?qū)τ?jì)算機(jī)進(jìn)行隨機(jī)搜索。

[Platform] 字段可以是“Script”或“Win32”。

HEUR:Virus.[Platform].Generic

此分類涵蓋的對象會在受害計(jì)算機(jī)的本地資源上創(chuàng)建自身的副本。

[Platform] 字段可以是“Script”或“Win32”。

HEUR:Email-Worm.[Platform].Generic

此分類涵蓋的對象嘗試以電子郵件附件的形式發(fā)送自身的副本，或者作為位于網(wǎng)絡(luò)資源上的自身文件的鏈接。

[Platform] 字段可以是“Script”或“Win32”。

HEUR:Virus.[Platform].Infector

此分類涵蓋的對象在計(jì)算機(jī)中搜索文件并將一系列信息寫入這些文件。例如，這樣的對象可以將其主體寫入可執(zhí)行文件或?qū)懭氚赶蚓哂?.html、.php、.asp 和其他擴(kuò)展名的文件的鏈接的 HTML 代碼。

[Platform] 字段可以是“Script”或“Win32”。

PDM:Worm.Win32.Generic

此分類涵蓋的對象搜索遠(yuǎn)程計(jì)算機(jī)網(wǎng)絡(luò)并嘗試將自身復(fù)制到讀/寫可訪問目錄、使用操作系統(tǒng)功能搜索可訪問網(wǎng)絡(luò)目錄和/或?qū)τ?jì)算機(jī)進(jìn)行隨機(jī)搜索。

PDM:P2P-Worm.Win32.Generic

此分類涵蓋的對象將自身復(fù)制到通常與 P2P 客戶端關(guān)聯(lián)的文件夾、修改與 P2P 客戶端關(guān)聯(lián)的注冊表項(xiàng)等。

HEUR:Trojan.[Platform].Generic

此分類涵蓋的對象會刪除、阻止、修改或復(fù)制信息，并破壞計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)的性能。[Platform] 字段可以是“Script”或“Win32”。

HEUR:Trojan.Win32.Invader

此分類涵蓋的對象將其代碼注入其他進(jìn)程的地址空間。

病毒編寫者經(jīng)常使用這種策略來執(zhí)行各種操作，就好像這些操作是由受信任的應(yīng)用程序執(zhí)行的一樣。

HEUR:Trojan.[Platform].AntiAV

此分類涵蓋的對象會阻止防病毒程序和防火墻工作。

[Platform] 字段可以是“Script”或“Win32”。

HEUR:Trojan.[Platform].KillFiles

此分類涵蓋的對象刪除用戶文件和/或操作系統(tǒng)文件。

[Platform] 字段可以是“Script”或“Win32”。

HEUR:Trojan.[Platform].StartPage

此分類涵蓋的對象會修改 StartPage、SearchPage 和其他 Internet 瀏覽器設(shè)置。

[Platform] 字段可以是“Script”或“Win32”。

HEUR:Trojan.Script.Iframer

此分類涵蓋的對象通過使用隱藏標(biāo)簽在用戶不知情的情況下訪問互聯(lián)網(wǎng)資源。

HEUR:Trojan.[Platform].Cryptic

此分類涵蓋的對象是高度加密或混淆的。

[Platform] 字段可以是“Script”或“Win32”。

HEUR:Backdoor.[Platform].Generic

此分類涵蓋的對象使惡意用戶能夠遠(yuǎn)程控制受害計(jì)算機(jī)。

[Platform] 字段可以是“Script”或“Win32”。

HEUR:Trojan-Downloader.[Platform].Generic

此分類涵蓋的對象旨在下載惡意程序的新版本并將其安裝到受害計(jì)算機(jī)。

[Platform] 字段可以是“Script”或“Win32”。

HEUR:Trojan-PSW.[Platform].Generic

此分類涵蓋的對象旨在從受害者計(jì)算機(jī)竊取用戶帳戶信息（登錄名和密碼）。

[Platform] 字段可以是“Script”或“Win32”。

HEUR:Trojan-Dropper.[Platform].Generic

此分類涵蓋的對象會從原始惡意程序主體中偷偷地將其他惡意程序安裝到受害者計(jì)算機(jī)上。

[Platform] 字段可以是“Script”或“Win32”。

HEUR:Exploit.[Platform].Generic

此分類涵蓋的對象利用本地或遠(yuǎn)程計(jì)算機(jī)上的一個或多個軟件漏洞。

[Platform] 字段可以是“Script”或“Win32”。

PDM:Trojan.Win32.Generic

此分類涵蓋的對象刪除、阻止、修改或復(fù)制信息，或破壞計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)的性能。

PDM:Rootkit.Win32.Generic

此分類涵蓋的對象隱藏系統(tǒng)上的某些對象或活動。此分類還會檢測到旨在秘密安裝向受害計(jì)算機(jī)展示 Rootkit 行為的驅(qū)動程序的程序。

HEUR:Adware.[Platform].Generic

此分類涵蓋的對象重定向搜索請求。

[Platform] 字段可以是“Script”或“Win32”。

PDM:Monitor.Win32.Keylogger

此分類涵蓋的對象記錄計(jì)算機(jī)鍵盤上按下的按鍵。

如果用戶或網(wǎng)絡(luò)管理員將此類程序安裝到計(jì)算機(jī)上，則它不會構(gòu)成威脅。但是會泄露一些信息。

大致就是這些，如果有什么遺漏或者寫錯的地方，還請師傅們多多指正。

【轉(zhuǎn)】https://mp.weixin.qq.com/s/bhwrbZGiufs1d2DXGI-XAw