病毒的分类:
很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名。
只要掌握一些病毒的命名规则,就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性。
世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。一般格式为:<病毒前缀>.<病毒名>.<病毒后缀> 。
病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ,蠕虫病毒的前缀是 Worm 等等还有其他的。
病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的“ CIH ”,振荡波蠕虫病毒的家族名是“ Sasser ”。
病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用26个英文字母来表示,如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B,因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多(也表明该病毒生命力顽强 ^_^),可以采用数字与字母混合表示变种标识。
综上所述,一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型,就可以对这个病毒有个大概的评估。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。
下面附带一些常见的病毒前缀的解释(针对我们用得最多的Windows操作系统):
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。
这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。注:CIH病毒是一种能够破坏计算机系统硬件的恶性病毒,有时还会破坏计算机的BIOS。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。
这种病毒的公有特性是通过网络或者系统漏洞进行复制和传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。
木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能,如:网络枭雄(Hack.Nether.Client)等。
木马病毒通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完有很强的隐蔽性。
4、脚本病毒
脚本病毒的前缀是:Script。
脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。
该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,是一种寄存在文档或模板的宏中的病毒。一旦打开这样的文档,其中的宏就会被执行,宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。如:著名的梅丽莎病毒(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。
该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
7、病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。
这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。
这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。
这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等
【参考:https://zhidao.baidu.com/question/39840796.html】
木马和病毒的区别与关系:
1、病毒:计算机病毒(Computer Virus),指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
具有自我复制能力,很强的感染性,一定的潜伏性,特定的触发性和很大的破坏性。
2、木马:特洛伊木马(“Trojan house”),它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
特洛伊木马程序分为客户端(也称为控制端)和服务器端(也称为被控制端)两部分,当用户访问了带有木马的网页后,木马的服务器部分就下载到用户所在的计算机上,并自动运行。
它们可能删除硬盘上的数据,使系统瘫痪,盗取用户资料等。木马程序不能独立侵入计算机,而是要依靠黑客来进行传播,它们常常被伪装成“正常”软件进行散播。
常见的木马病毒举例:
梅丽莎病毒,是1998年春天,由美国人大卫·L·史密斯运用Word的宏运算编写出的一个电脑病毒,其主要是通过邮件传播。邮件的标题通常为“这是给你的资料,不要让任何人看见”。2002年5月7日病毒的制造者被判刑,这是美国第一次对重要的电脑病毒制造者进行严厉惩罚。
爱虫病毒,又称“我爱你”病毒,是一种蠕虫病毒,与1999年的梅丽莎病毒非常相似。2000年5月4日,一种名为“我爱你”的电脑病毒开始在全球各地迅速传播。这个病毒是通过Microsoft Outlook电子邮件系统传播的,邮件的主题为“I LOVE YOU”,并包含一个附件。一旦在Microsoft Outlook里打开这个邮件,系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。据称,这个病毒可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后,邮件系统将会变慢,并可能导致整个网络系统崩溃。据称:“爱虫”病毒是迄今为止发现的传染速度最快而且传染面积最广的计算机病毒,它已对全球包括股票经纪、食品、媒体、汽车和技术公司以及大学甚至医院在内的众多机构造成了负面影响。
“红色代码”病毒是2001年7月15日发现的一种网络蠕虫病毒,感染运行Microsoft IIS Web服务器的计算机。其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合,将网络蠕虫、计算机病毒、木马程序合为一体,开创了网络病毒传播的新路,可称之为划时代的病毒。如果稍加改造,将是非常致命的病毒,可以完全取得所攻破计算机的所有权限并为所欲为,可以盗走机密数据,严重威胁网络安全。
灰鸽子( Huigezi),原本该软件适用于公司和家庭管理,其功能十分强大,不但能监视摄像头、键盘记录、监控桌面、文件操作等。还提供了黑客专用功能,如:伪装系统图标、随意更换启动项名称和表述、随意更换端口、运行后自删除、毫无提示安装等,并采用反弹链接这种缺陷设计,使得使用者拥有最高权限,一经破解即无法控制。最终导致被黑客恶意使用。原作者的灰鸽子被定义为是一款集多种控制方式于一体的木马程序。
冰河是一种木马软件。冰河木马开发于1999年,跟灰鸽子类似,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,跟后来的灰鸽子等等成为国产木马的标志和代名词。在2006年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马,由此可见冰河木马在国内的影响力之巨大。
冲击波(Worm.Blaster)病毒是利用RPC漏洞进行传播的,只要是有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞。该病毒感染系统后,会使计算机产生下列现象:系统资源被大量占用,弹出RPC服务终止的对话框,系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。
熊猫烧香是一种经过多次变种的“蠕虫病毒”变种,跟灰鸽子不同,是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件。2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的档案传染,受到感染的机器文件因为被误携带间接对其它计算机程序、系统破坏严重。2007年2月12日,湖北省公安厅宣布,李俊以及其同伙共8人已经落网,这是中国警方破获的首例计算机病毒大案。
X卧底软件是一种安装在手机里的监控软件。X卧底病毒通过木马形式感染智能手机。
2017年5月,国内高校突发比特币病毒,多所高校发布关于连接校园网的电脑大面积中“勒索”病毒的消息,这种病毒致使许多高校毕业生的毕业论文(设计)被锁,支付赎金后才能解密。全球许多国家的医院及科研机构等也都遭受了攻击。
常见的木马病毒进程:
dllhost.exe:冲击波病毒。
Avserve.exe:震荡波病毒。
Bbeagle.exe:恶鹰蠕虫病毒。
Rundll.exe:SCKISS爱情森林。
Rundll32.exe:狩猎者病毒。
Spfw.exe:瑞波变种PX.
Runouce.exe:中国黑客病毒。
Netspy.exe:网络精灵。
Checkdll.exe:网络公牛。
Diagcfg.exe:广外女生。
Dvldr32.exe:口令病毒。
Regscan.exe:波特后门变种。
Esafe.exe:将死者病毒。
Tftp:exe:尼姆达病毒。
Flcss.exe:Funlove病毒。
lcsupp95.exe:将死者病毒。
lexplore.exe:恶邮差病毒。
msblast.exe:冲击波病毒。
Rpcsrv.exe:恶邮差病毒。
Svchost.exe:蓝色代码蠕虫病毒。
Scanrew.exe:传奇终结者。
Sysedit32.exe:SCKISS爱情森林。
Scvhost.exe:安哥病毒。
Syshelp.exe:恶邮差病毒。
Internet.exe:传奇幽灵。
Internet.exe:网络神偷。
Kernel32.exe:冰河。
WScript.exe:爱虫病毒。
Vshwin32.exe:将死者病毒。
Vsstart.exe:将死者病毒。
Vw32.exe:将死者病毒。
Wubsys.exe:传奇猎手。
Kiss.exe:传奇天使。
Krn132.exe:求职者病毒。
Load.exe:尼姆达病毒。
Taskbar:FRETHEM密码病毒。
Lockdown2000.exe:将死者病毒。
SY***plr.exe:冰河。
Taskmon.exe:诺维格蠕虫病毒。
Taskmon32:传奇黑眼睛。
Tds2-95.exe:将死者病毒。
Windows.exe:漏洞2000。
Wingate.exe:恶邮差病毒。
Winupdate.exe:Sckiss爱情森林。
Winver.exe:Sckiss爱情森林。