主行为类型 | 子行为类型 |
Backdoor 危害级别:1 说明: 中文名称—“后门”, 是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。 | |
Worm 危害级别:2 说明: 中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。 | Mail 危害级别:1 说明:通过邮件传播 |
IM 危害级别:2 说明:通过某个不明确的载体或多个明确的载体传播自己 | |
MSN 危害级别:3 说明:通过MSN传播 | |
QQ 危害级别:4 说明:通过OICQ传播 | |
ICQ 危害级别:5 说明:通过ICQ传播 | |
P2P 危害级别:6 说明:通过P2P软件传播 | |
IRC 危害级别:7 说明:通过IRC传播 | |
说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。 | |
Trojan 危害级别:3 说明: 中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。 | Spy 危害级别:1 说明:窃取用户信息(如:文件等) |
PSW 危害级别:2 说明:具有窃取密码的行为 | |
DL 危害级别:3 说明:下载病毒并运行 一、判定条款: 没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行. 二、逻辑条件引发的事件: 事件1、.不能正常下载或下载的文件不能判定为病毒。 操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL 事件2.下载的文件是病毒 操作准则: 下载的文件是病毒,确定为: Trojan.DL | |
IMMSG 危害级别:4 说明:通过某个不明确的载体或多个明确的载体传播即时消息(这一行为与蠕虫的传播行为不同,蠕虫是传播病毒自己,木马仅仅是传播消息) | |
MSNMSG 危害级别:5 说明:通过MSN传播即时消息 | |
QQMSG 危害级别:6 说明:通过OICQ传播即时消息 | |
ICQMSG 危害级别:7 说明:通过ICQ传播即时消息 | |
UCMSG 危害级别:8 说明:通过UC传播即时消息 | |
Proxy 危害级别:9 说明:将被感染的计算机作为代理服务器 | |
Clicker 危害级别:10 说明:点击指定的网页 判定条款: 没有可调出的任何界面,逻辑功能为:点击某网页。 操作准则: 该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。 (该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定) | |
Dialer 危害级别:12 说明:通过拨号来骗取Money的程序 | |
说明:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述 | |
AOL 按照原来病毒名命名保留。 | |
Notifier 按照原来病毒名命名保留。 | |
Virus 危害级别:4 说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。 | |
Harm 危害级别:5 说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。 | |
Dropper 危害级别:6 说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。 | 一.Dropper判定条款: 没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。 二.逻辑条件引发的事件: 事件1:.释放的文件不是病毒。 操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper 事件2:释放的文件是病毒。 操作准则: 释放的文件是病毒,确定该文件为:Droper |
Hack 危害级别:无 说明:中文名称—“黑客工具”,是指可以在本地计算机通过网络攻击其他计算机的工具。 | Exploit 说明:漏洞探测攻击工具 |
DDoser 说明:拒绝服务攻击工具 | |
Flooder 说明:洪水攻击工具 | |
说明:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述 | |
Spam 说明:垃圾邮件。 | |
Nuker | |
Sniffer | |
Spoofer | |
Anti 说明:免杀的黑客工具 | |
Binder 危害级别:无 说明:捆绑病毒的工具 |
JS | 说明:JavaScript脚本文件 |
VBS | 说明:VBScript脚本文件 |
HTML | 说明:HTML文件 |
Java | 说明:Java的Class文件 |
COM | 说明:Dos下的Com文件 |
EXE | 说明:Dos下的Exe文件 |
Boot | 说明:硬盘或软盘引导区 |
Word | 说明:MS公司的Word文件 |
Excel | 说明:MS公司的Excel文件 |
PE | 说明:PE文件 |
WinREG | 说明:注册表文件 |
Ruby | 说明:一种脚本 |
Python | 说明:一种脚本 |
BAT | 说明:BAT脚本文件 |
IRC | 说明:IRC脚本 |
Client | 说明:后门程序的控制端 |
KEY_HOOK | 说明:用于挂接键盘的模块 |
API_HOOK | 说明:用于挂接API的模块 |
Install | 说明:用于安装病毒的模块 |
Dll | 说明:文件为动态库,并且包含多种功能 |
(空) | 说明:没有附属名称,这条记录是病毒主体记录 |
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) | Powered by Discuz! 7.2 |