# 常规威胁名

HEUR:Trojan.WinLNK.Alien.gen

这是卡巴斯基对某个病毒的报毒名

# 检测方法

HEUR: 为检测方法,常见的有以下几个:

  • 没有 :一般为本地哈希校验或云查杀
  • HEUR :机器启发,一般是已知病毒的变种或有明显特征
  • UDS :紧急云拉黑,一般是新的病毒
  • VHO :云启发查杀,已知的新型特征
  • PDM :主动防御杀,通过已知行为杀

但有很多例外,例如 360 的 HEUR 指 QVM 引擎的人工智能查杀
ESET 的 HEUR 还包含 DNA 启发,avast 的主防是 IDP, 每个厂商对同一种技术的叫法都不同

# 威胁类型和平台名

# 平台名

在这个 Trojan 的位置部分杀软为平台名,常见的有以下几个:

  • win32 :在 windows x86 环境下的程序,最常见的类别
  • win64 :在 windows x64 环境下的程序,只能在 64 位系统运行
  • win95/98 :运行在 win95 这种 dos 内核系统上的程序
  • dos :在 dos 环境下的威胁,现在基本已经没有了
  • linux :在 linux 环境的威胁,针对服务器的较多
  • Android :手机病毒,多为 apk 后缀

# 威胁类型

威胁树为卡巴斯基威胁树,越靠上越危险

常见的分为以下几种类型:

# 木马 (Trojan)

木马是最常见的威胁类型,大部分未被明确分类的威胁都是木马
属于威胁树的中层威胁,危险性从高到低都有

# 后门 (Backdoor)

后门通常指可以远程地址通信并执行命令的威胁,部分远控病毒也属于此类
后门病毒一般用于窃取隐私、远程控制、执行推广、发动 DDos 等非法用途
属于威胁树的中上层威胁,危险性较高,部分会连接到 C&C 服务器,执行更危险的操作

# 病毒 (Virus)

病毒通常指可以自我复制并寄生在其他程序内的威胁,可以让正常程序变成病毒文件
一般通过局域网、移动硬盘、漏洞等方式传播,在浏览网页是也有可能通过网页文件传播
属于威胁树的中上层威胁,危险性较高,但一般没有危险行为

# 蠕虫 (Worm)

蠕虫是病毒的升级版,它可以通过向 office 文件内注入宏的方式来传播,
一般计算机感染后会主动向局域网甚至公网发动攻击,传播性极高
属于威胁树的上层威胁,危险性极高,可以通过注入等方法实施后门的攻击手法

# Rootkit

Rootkit 是一种可以把自身嵌入系统内核内的威胁,通过注入驱动等方式实现 R0 级的权限
Rootkit 一般没有恶意行为,一般会与蠕虫、后门、木马等结合使用,实现病毒的自保
属于威胁树的中下层威胁,危险性中等,一般搭配使用

bootkit 也属于 rootkit, 但它可以在系统启动前就加载完毕,从而进一步隐蔽

# 漏洞利用 (Exploit)

这种威胁会利用已知的漏洞对计算机发动攻击,从而注入后门等其他类型的病毒
一般可以通过打补丁解决,但 0day 漏洞就没有解决方法了
属于威胁树的中下层威胁,危险性低,一般为注入的 "手段"

# 工具 (tools)

工具类是攻击时的辅助手段,常见的有 hacktool、virtool 这两种
hacktool 是黑客工具,例如系统激活软件就会被认为是 hacktool, 可能有破坏性
virtool 是混淆器,一般用于阻碍杀软识别特征或人工分析
属于威胁树下层威胁,危险性低

# 勒索 (Ransom)

勒索病毒会加密用户的文档或硬盘并向用户索要赎金以解锁文件
现在病毒一般使用非对称加密算法,除非作者主动公布秘钥,否则很难解密
属于威胁树中上威胁,危险性高

# 家族名和变种名

WinLNK 即为家族名,是这个威胁及其变种的正式名称
Aligen.gen 即为变种名

此文章已被阅读次数: 正在加载... 更新于

请我喝[茶]~( ̄▽ ̄)~*

chou kaitaku 微信支付

微信支付

chou kaitaku 支付宝

支付宝