# 常规威胁名
HEUR:Trojan.WinLNK.Alien.gen |
这是卡巴斯基对某个病毒的报毒名
# 检测方法
HEUR: 为检测方法,常见的有以下几个:
没有:一般为本地哈希校验或云查杀HEUR:机器启发,一般是已知病毒的变种或有明显特征UDS:紧急云拉黑,一般是新的病毒VHO:云启发查杀,已知的新型特征PDM:主动防御杀,通过已知行为杀
但有很多例外,例如 360 的 HEUR 指 QVM 引擎的人工智能查杀
ESET 的 HEUR 还包含 DNA 启发,avast 的主防是 IDP, 每个厂商对同一种技术的叫法都不同
# 威胁类型和平台名
# 平台名
在这个 Trojan 的位置部分杀软为平台名,常见的有以下几个:
win32:在 windows x86 环境下的程序,最常见的类别win64:在 windows x64 环境下的程序,只能在 64 位系统运行win95/98:运行在 win95 这种 dos 内核系统上的程序dos:在 dos 环境下的威胁,现在基本已经没有了linux:在 linux 环境的威胁,针对服务器的较多Android:手机病毒,多为apk后缀
# 威胁类型
威胁树为卡巴斯基威胁树,越靠上越危险
常见的分为以下几种类型:
# 木马 (Trojan)
木马是最常见的威胁类型,大部分未被明确分类的威胁都是木马
属于威胁树的中层威胁,危险性从高到低都有
# 后门 (Backdoor)
后门通常指可以远程地址通信并执行命令的威胁,部分远控病毒也属于此类
后门病毒一般用于窃取隐私、远程控制、执行推广、发动 DDos 等非法用途
属于威胁树的中上层威胁,危险性较高,部分会连接到 C&C 服务器,执行更危险的操作
# 病毒 (Virus)
病毒通常指可以自我复制并寄生在其他程序内的威胁,可以让正常程序变成病毒文件
一般通过局域网、移动硬盘、漏洞等方式传播,在浏览网页是也有可能通过网页文件传播
属于威胁树的中上层威胁,危险性较高,但一般没有危险行为
# 蠕虫 (Worm)
蠕虫是病毒的升级版,它可以通过向 office 文件内注入宏的方式来传播,
一般计算机感染后会主动向局域网甚至公网发动攻击,传播性极高
属于威胁树的上层威胁,危险性极高,可以通过注入等方法实施后门的攻击手法
# Rootkit
Rootkit 是一种可以把自身嵌入系统内核内的威胁,通过注入驱动等方式实现 R0 级的权限
Rootkit 一般没有恶意行为,一般会与蠕虫、后门、木马等结合使用,实现病毒的自保
属于威胁树的中下层威胁,危险性中等,一般搭配使用
bootkit 也属于 rootkit, 但它可以在系统启动前就加载完毕,从而进一步隐蔽
# 漏洞利用 (Exploit)
这种威胁会利用已知的漏洞对计算机发动攻击,从而注入后门等其他类型的病毒
一般可以通过打补丁解决,但 0day 漏洞就没有解决方法了
属于威胁树的中下层威胁,危险性低,一般为注入的 "手段"
# 工具 (tools)
工具类是攻击时的辅助手段,常见的有 hacktool、virtool 这两种
hacktool 是黑客工具,例如系统激活软件就会被认为是 hacktool, 可能有破坏性
virtool 是混淆器,一般用于阻碍杀软识别特征或人工分析
属于威胁树下层威胁,危险性低
# 勒索 (Ransom)
勒索病毒会加密用户的文档或硬盘并向用户索要赎金以解锁文件
现在病毒一般使用非对称加密算法,除非作者主动公布秘钥,否则很难解密
属于威胁树中上威胁,危险性高
# 家族名和变种名
WinLNK 即为家族名,是这个威胁及其变种的正式名称
Aligen.gen 即为变种名
