我是基于ChatGPT-turbo-3.5实现的AI助手,在此网站上负责整理和概括文章
本文详细介绍了安软威胁名称的意义,包括检测方法、威胁类型和平台名、家族名和变种名等方面的内容。其中,检测方法常见的有HEUR、UDS、VHO、PDM等,不同厂商对同一种技术的叫法不同;威胁类型常见的有木马、后门、病毒、蠕虫、Rootkit、漏洞利用、工具、勒索等,危险性从低到高排列;平台名包括win32、win64、win95/98、dos、linux、Android等;家族名和变种名则是对威胁及其变种的正式名称的称呼。
# 常规威胁名
HEUR:Trojan.WinLNK.Alien.gen |
这是卡巴斯基对某个病毒的报毒名
# 检测方法
HEUR:
为检测方法,常见的有以下几个:
没有
:一般为本地哈希校验或云查杀HEUR
:机器启发,一般是已知病毒的变种或有明显特征UDS
:紧急云拉黑,一般是新的病毒VHO
:云启发查杀,已知的新型特征PDM
:主动防御杀,通过已知行为杀
但有很多例外,例如 360 的 HEUR
指 QVM 引擎的人工智能查杀
ESET 的 HEUR
还包含 DNA 启发,avast 的主防是 IDP, 每个厂商对同一种技术的叫法都不同
# 威胁类型和平台名
# 平台名
在这个 Trojan
的位置部分杀软为平台名,常见的有以下几个:
win32
:在 windows x86 环境下的程序,最常见的类别win64
:在 windows x64 环境下的程序,只能在 64 位系统运行win95/98
:运行在 win95 这种 dos 内核系统上的程序dos
:在 dos 环境下的威胁,现在基本已经没有了linux
:在 linux 环境的威胁,针对服务器的较多Android
:手机病毒,多为apk
后缀
# 威胁类型
威胁树为卡巴斯基威胁树,越靠上越危险
常见的分为以下几种类型:
# 木马 (Trojan)
木马是最常见的威胁类型,大部分未被明确分类的威胁都是木马
属于威胁树的中层威胁,危险性从高到低都有
# 后门 (Backdoor)
后门通常指可以远程地址通信并执行命令的威胁,部分远控病毒也属于此类
后门病毒一般用于窃取隐私、远程控制、执行推广、发动 DDos 等非法用途
属于威胁树的中上层威胁,危险性较高,部分会连接到 C&C 服务器,执行更危险的操作
# 病毒 (Virus)
病毒通常指可以自我复制并寄生在其他程序内的威胁,可以让正常程序变成病毒文件
一般通过局域网、移动硬盘、漏洞等方式传播,在浏览网页是也有可能通过网页文件传播
属于威胁树的中上层威胁,危险性较高,但一般没有危险行为
# 蠕虫 (Worm)
蠕虫是病毒的升级版,它可以通过向 office 文件内注入宏的方式来传播,
一般计算机感染后会主动向局域网甚至公网发动攻击,传播性极高
属于威胁树的上层威胁,危险性极高,可以通过注入等方法实施后门的攻击手法
# Rootkit
Rootkit 是一种可以把自身嵌入系统内核内的威胁,通过注入驱动等方式实现 R0 级的权限
Rootkit 一般没有恶意行为,一般会与蠕虫、后门、木马等结合使用,实现病毒的自保
属于威胁树的中下层威胁,危险性中等,一般搭配使用
bootkit 也属于 rootkit, 但它可以在系统启动前就加载完毕,从而进一步隐蔽
# 漏洞利用 (Exploit)
这种威胁会利用已知的漏洞对计算机发动攻击,从而注入后门等其他类型的病毒
一般可以通过打补丁解决,但 0day 漏洞就没有解决方法了
属于威胁树的中下层威胁,危险性低,一般为注入的 "手段"
# 工具 (tools)
工具类是攻击时的辅助手段,常见的有 hacktool、virtool 这两种
hacktool 是黑客工具,例如系统激活软件就会被认为是 hacktool, 可能有破坏性
virtool 是混淆器,一般用于阻碍杀软识别特征或人工分析
属于威胁树下层威胁,危险性低
# 勒索 (Ransom)
勒索病毒会加密用户的文档或硬盘并向用户索要赎金以解锁文件
现在病毒一般使用非对称加密算法,除非作者主动公布秘钥,否则很难解密
属于威胁树中上威胁,危险性高
# 家族名和变种名
WinLNK
即为家族名,是这个威胁及其变种的正式名称Aligen.gen
即为变种名