计算机病毒(Computer Virus)指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
——《中华人民共和国计算机信息系统安全保护条例》
恶意软件的定义
恶意软件是一个用来描述恶意应用程序和代码的术语,可以造成损害并破坏设备的正常使用。 恶意软件可以允许未经授权的访问、使用系统资源、窃取密码、将用户计算机锁定并进行勒索等。
——微软
病毒与恶意软件的关系
恶意软件命名
为什么要给恶意软件命名
- 如果没有一个有标识性的名称,无法对病毒研究和追踪
- 不同种类病毒的查杀方式是不同的
- 通过名称,可以更快更准确的对病毒做出处理
安全软件报毒名怎么看
恶意软件类型:
恶意软件类型就是描述恶意软件存在哪些主要行为——这毒做什么的
恶意软件家族名:
除了恶意软件的类型外,恶意软件还有一个称为“家族”的字段,这个字段直接将恶意软件缩小到一个更具体的范围——这毒叫什么
如果说主类型是国家的话,那么家族就是省份
不同安全软件的检测结果
Wannacry
SHA1:5ff465afaabcbf0150d1a3ab2c2e74f3a4426467
火绒
Ransom/Wannacry.j
腾讯
Trojan-Ransom.Win32.WannaCry.kd
ESET-NOD32
Win32/Filecoder.WannaCryptor.D
Kaspersky
Trojan-Ransom.Win32.Wanna.zbu
Microsoft
Ransom:Win32/WannaCrypt
恶意软件命名规范是什么
病毒名称的最基本要求是能够明确描述对检测到的所包含恶意代码类型主类型,平台类型,家族,变种号,后缀
微软命名规范
火绒命名规范
恶意软件家族名是如何命名的
安全厂商发现一个恶意软件家族后,会根据恶意软件作者留下的签名、或者恶意软件的一些明显特征,为它取一个名字,这就是恶意软件家族名的命名
例如:Virus/Synares.a
该病毒运行后会将病毒母体文件释放到C:\ProgramData\Synaptics\Synaptics.exe
感染方式:将原始文件嵌入到病毒的资源中
根据上述病毒特征,命名为Synares
关于CARO恶意软件命名方案的现状对恶意软件家族命名的一些规则定义
The current status of the CARO Malware Naming Scheme
病毒处理实例
有一个恶意程序一个小时定时复制到C盘,安全软件可以查杀,但是生成这个文件的程序找不到,该如何处理?
查杀日志如下
病毒防护,文件实时监控,发现病毒Virus/Almanahe.a!src, 已处理
操作进程:System
病毒路径:C:\setup.exe
病毒名称:Virus/Almanahe.a!src
病毒ID:A79AB283EE7EA771
操作结果:已处理
ESET对Almanahe感染型病毒的介绍
一条Almanahe感染型查杀日志扩展出的知识点-CSDN博客
