如何經由名稱辨識電腦病毒

linsismm

如何根據名稱識別電腦病毒---轉載於《瑞星社區》

      很多時候大家已經用掃毒軟體查出了自己的機子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等這些一串英文還帶數字的病毒名，這時有些人就懵了，那麼長一串的名字，我怎麼知道是什麼病毒啊？
　　其實只要我們掌握一些病毒的命名規則，我們就能通過掃毒軟體的報告中出現的病毒名來判斷該病毒的一些公有的特性了。

　　世界上那麼多的病毒，反病毒公司為了方便管理，他們會按照病毒的特性，將病毒進行分類命名。雖然每個反病毒公司的命名規則都不太一樣，但大體都是採用一個統一的命名方法來命名的。一般格式為：<病毒前綴>.<病毒名>.<病毒後綴> 。

　　病毒前綴是指一個病毒的種類，他是用來區別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。比如我們常見的木馬病毒的前綴 Trojan ，蠕蟲病毒的前綴是 Worm 等等還有其他的。

　　病毒名是指一個病毒的家族特徵，是用來區別和標識病毒家族的，如以前著名的CIH病毒的家族名都是統一的「 CIH 」，還有近期鬧得正歡的振蕩波蠕蟲病毒的家族名是「 Sasser 」。

　　病毒後綴是指一個病毒的變種特徵，是用來區別具體某個家族病毒的某個變種的。一般都採用英文中的26個字母來表示，如 Worm.Sasser.b 就是指 振蕩波蠕蟲病毒的變種B，因此一般稱為 「振蕩波B變種」或是「振蕩波變種B」。若果該病毒變種非常多（也表明該病毒生命力頑強 ^_^），可以採用數字與字母混合表示變種標識。

　　綜上所述，一個病毒的前綴對我們快速的判斷該病毒屬於哪種類型的病毒是有非常大的幫助的。通過判斷病毒的類型，就可以對這個病毒有個大概的評估（當然這需要積累一些常見病毒類型的關聯知識，這不在本文討論範圍）。而通過病毒名我們可以利用尋找資料等模式進一步瞭解該病毒的詳細特徵。病毒後綴能讓我們知道現在在你機子裡呆著的病毒是哪個變種。

　　下面附帶一些常見的病毒前綴的解釋（針對我們用得最多的Windows動作系統）：

　　1、系統病毒

　　系統病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows動作系統的 *.exe 和 *.dll 檔案，並通過這些檔案進行傳播。如CIH病毒。

　　2、蠕蟲病毒

　　蠕蟲病毒的前綴是：Worm。這種病毒的公有特性是通過網路或是系統漏洞進行傳播，很大部分的蠕蟲病毒都有向外傳送帶毒信件，阻塞網路的特性。比如衝擊波（阻塞網路），小郵差（髮帶毒信件） 等。

　　3、木馬病毒、黑客病毒

　　木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為 Hack 。木馬病毒的公有特性是通過網路或是系統漏洞進入使用者的系統並隱藏，然後向外界洩露使用者的訊息，而黑客病毒則有一個可視的界面，能對使用者的電腦進行遠端控制。木馬、黑客病毒往往是成對出現的，即木馬病毒負責侵入使用者的電腦，而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種類型都越來越趨向於整合了。一般的木馬如QQ消息尾巴木馬 Trojan.QQ3344 ，還有大家可能遇見比較多的針對網路遊戲的木馬病毒如 Trojan.LMir.PSW.60 。這裡補充一點，病毒名中有PSW或是什麼PWD之類的一般都表示這個病毒有盜取密碼的功能（這些字母一般都為「密碼」的英文「password」的縮寫）一些黑客程式如：網路梟雄（Hack.Nether.Client）等。

　　4、腳本病毒


　　腳本病毒的前綴是：Script。腳本病毒的公有特性是使用腳本語系編寫，通過網頁進行的傳播的病毒，如紅色代碼（Script.Redlof）——可不是我們的老大代碼兄哦 ^_^。腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

　　5、巨集病毒

　　其實巨集病毒是也是腳本病毒的一種，由於它的特殊性，因此在這裡單獨算成一類。巨集病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。凡是只感染WORD97及以前版本WORD文件的病毒採用Word97做為第二前綴，格式是：Macro.Word97；凡是只感染WORD97以後版本WORD文件的病毒採用Word做為第二前綴，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文件的病毒採用Excel97做為第二前綴，格式是：Macro.Excel97；凡是只感染EXCEL97以後版本EXCEL文件的病毒採用Excel做為第二前綴，格式是：Macro.Excel，依此類推。該類病毒的公有特性是能感染OFFICE系列文件，然後通過OFFICE通用範本進行傳播，如：著名的美麗莎(Macro.Melissa)。

　　6、後門病毒

　　後門病毒的前綴是：Backdoor。該類病毒的公有特性是通過網路傳播，給系統開後門，給使用者電腦帶來安全隱患。如54很多朋友遇到過的IRC後門Backdoor.IRCBot 。

　　7、病毒種植程式病毒

　　這類病毒的公有特性是執行時會從體內釋放出一個或幾個新的病毒到系統目錄下，由釋放出來的新病毒產生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。

　　8．破壞性程式病毒

　　破壞性程式病毒的前綴是：Harm。這類病毒的公有特性是本身具有好看的圖示來誘惑使用者點擊，當使用者點擊這類病毒時，病毒便會直接對使用者電腦產生破壞。如：格式化C盤（Harm.formatC.f）、殺手指令（Harm.Command.Killer）等。

　　9．玩笑病毒

　　玩笑病毒的前綴是：Joke。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖示來誘惑使用者點擊，當使用者點擊這類病毒時，病毒會做出各種破壞動作來嚇唬使用者，其實病毒並沒有對使用者電腦進行任何破壞。如：女鬼（Joke.Girlghost）病毒。

　　10．捆綁機病毒

　　捆綁機病毒的前綴是：Binder。這類病毒的公有特性是病毒作者會使用特定的捆綁程式將病毒與一些套用程式如QQ、IE捆綁起來，表面上看是一個標準的檔案，當使用者執行這些捆綁病毒時，會表面上執行這些套用程式，然後隱藏執行捆綁在一起的病毒，從而給使用者造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統殺手（Binder.killsys）等。

　　以上為比較常見的病毒前綴，有時候我們還會看到一些其他的，但比較少見，這裡簡單提一下：

　　DoS：會針對某台主電腦或是伺服器進行DoS攻擊；
　　Exploit：會自動通過溢出對方或是自己的系統漏洞來傳播自身，或是他本身就是一個用於Hacking的溢出工具；
　　HackTool：黑客工具，也許本身並不破壞你的機子，但是會被別人加以利用來用你做替身去破壞別人。

　　你可以在查出某個病毒以後通過以上所說的方法來初步判斷所中病毒的基本情況，達到知己知彼的效果。在掃毒無法自動查殺，打算採用手動模式的時候這些訊息會給你很大的幫助。