# 常规威胁名

HEUR:Trojan.WinLNK.Alien.gen

这是卡巴斯基对某个病毒的报毒名

# 检测方法

HEUR: 为检测方法，常见的有以下几个：

• 没有 ：一般为本地哈希校验或云查杀
• HEUR ：机器启发，一般是已知病毒的变种或有明显特征
• UDS ：紧急云拉黑，一般是新的病毒
• VHO ：云启发查杀，已知的新型特征
• PDM ：主动防御杀，通过已知行为杀

但有很多例外，例如 360 的 HEUR 指 QVM 引擎的人工智能查杀
ESET 的 HEUR 还包含 DNA 启发，avast 的主防是 IDP, 每个厂商对同一种技术的叫法都不同

# 威胁类型和平台名

# 平台名

在这个 Trojan 的位置部分杀软为平台名，常见的有以下几个：

• win32 ：在 windows x86 环境下的程序，最常见的类别
• win64 ：在 windows x64 环境下的程序，只能在 64 位系统运行
• win95/98 ：运行在 win95 这种 dos 内核系统上的程序
• dos ：在 dos 环境下的威胁，现在基本已经没有了
• linux ：在 linux 环境的威胁，针对服务器的较多
• Android ：手机病毒，多为 apk 后缀

# 威胁类型

常见的分为以下几种类型：

# 木马 (Trojan)

木马是最常见的威胁类型，大部分未被明确分类的威胁都是木马
属于威胁树的中层威胁，危险性从高到低都有

# 后门 (Backdoor)

后门通常指可以远程地址通信并执行命令的威胁，部分远控病毒也属于此类
后门病毒一般用于窃取隐私、远程控制、执行推广、发动 DDos 等非法用途
属于威胁树的中上层威胁，危险性较高，部分会连接到 C&C 服务器，执行更危险的操作

# 病毒 (Virus)

病毒通常指可以自我复制并寄生在其他程序内的威胁，可以让正常程序变成病毒文件
一般通过局域网、移动硬盘、漏洞等方式传播，在浏览网页是也有可能通过网页文件传播
属于威胁树的中上层威胁，危险性较高，但一般没有危险行为

# 蠕虫 (Worm)

蠕虫是病毒的升级版，它可以通过向 office 文件内注入宏的方式来传播，
一般计算机感染后会主动向局域网甚至公网发动攻击，传播性极高
属于威胁树的上层威胁，危险性极高，可以通过注入等方法实施后门的攻击手法

# Rootkit

Rootkit 是一种可以把自身嵌入系统内核内的威胁，通过注入驱动等方式实现 R0 级的权限
Rootkit 一般没有恶意行为，一般会与蠕虫、后门、木马等结合使用，实现病毒的自保
属于威胁树的中下层威胁，危险性中等，一般搭配使用

# 漏洞利用 (Exploit)

这种威胁会利用已知的漏洞对计算机发动攻击，从而注入后门等其他类型的病毒
一般可以通过打补丁解决，但 0day 漏洞就没有解决方法了
属于威胁树的中下层威胁，危险性低，一般为注入的 "手段"

# 工具 (tools)

工具类是攻击时的辅助手段，常见的有 hacktool、virtool 这两种
hacktool 是黑客工具，例如系统激活软件就会被认为是 hacktool, 可能有破坏性
virtool 是混淆器，一般用于阻碍杀软识别特征或人工分析
属于威胁树下层威胁，危险性低

# 勒索 (Ransom)

勒索病毒会加密用户的文档或硬盘并向用户索要赎金以解锁文件
现在病毒一般使用非对称加密算法，除非作者主动公布秘钥，否则很难解密
属于威胁树中上威胁，危险性高

# 家族名和变种名

WinLNK 即为家族名，是这个威胁及其变种的正式名称
Aligen.gen 即为变种名