Quiero saber algo sobre virus y troyanos.
Los virus informáticos son parásitos, contagiosos, latentes, explosivos y destructivos, y son software informático.
Principales tipos de comportamiento y subtipos de comportamiento de virus
Un virus puede contener múltiples tipos de comportamiento principales. En este caso, el tipo de comportamiento principal con el nivel de peligro más alto puede determinarse por el nivel de peligro de cada tipo de comportamiento principal. Asimismo, un virus puede contener múltiples tipos de subcomportamientos. En este caso, el tipo de subcomportamiento con el nivel de peligro más alto puede determinarse por el nivel de peligro de cada tipo de comportamiento principal. El nivel de peligro se refiere al grado de peligrosidad del ordenador donde se encuentra el virus.
El tipo de comportamiento del virus principal tiene un atributo de mostrar o no, que se utiliza para ocultar el nombre del comportamiento principal al generar el nombre del virus. Tiene una relación correspondiente con el tipo de subcomportamiento del virus, como se muestra en la siguiente tabla:
Tipo de comportamiento principal Tipo de subcomportamiento
Secreto
Peligro nivel: 1
Descripción:
Nombre chino: "Puerta trasera" significa que se ejecuta de forma oculta sin el conocimiento o permiso del usuario y puede controlar de forma remota el sistema infectado y el el usuario no puede Los métodos normales prohíben su funcionamiento. "Backdoor" es en realidad un caso especial de caballo de Troya. La diferencia entre los dos es que la "puerta trasera" puede controlar de forma remota el sistema infectado (como la gestión de archivos y el control de procesos).
Gusano
Nivel de peligro: 2
Descripción:
Nombre chino: "gusano" se refiere a la explotación de vulnerabilidades del sistema para propagarse. El correo, los directorios, el software que puede transferir archivos (como MSN, OICQ, IRC, etc.) y los medios de almacenamiento extraíbles (como discos USB y disquetes) pueden propagar sus propios virus. Este tipo de comportamiento de subtipo de virus se utiliza para representar el método de transmisión utilizado por el virus.
Correo electrónico
Nivel de peligro: 1
Descripción: Transmitido por correo electrónico
Mensajería instantánea
Peligro nivel: 2
Descripción: Propagarse a través de un portador ambiguo o múltiples portadores claros.
Microsoft Network
Nivel de peligro: 3
Descripción: propagarse a través de MSN
Software de mensajería instantánea
Peligro Nivel: 4
Descripción: difundido a través de OICQ
Buscapersonas de Internet (un software de comunicación en red, equivalente a I Seek You)
Nivel de peligro: 5
Descripción: se propaga a través de ICQ
Red peer-to-peer
Nivel de peligro: 6
Descripción: se propaga a través de software P2P.
Conversación por retransmisión por Internet
Nivel de peligro: 7
Descripción: transmitida a través de ICR
Descripción: comunicación que no depende de otro software Métodos como explotar vulnerabilidades del sistema, directorios compartidos y medios de almacenamiento extraíbles.
Troyano
Nivel de peligro: 3
Descripción:
Nombre chino: "caballo de Troya" se refiere a un programa malicioso que se produce sin Sin el conocimiento del usuario, se ejecuta de forma oculta en el sistema infectado y el usuario no puede prohibir su funcionamiento mediante métodos normales. Este virus generalmente tiene un propósito lucrativo, y su propósito lucrativo también es un subcomportamiento de este virus.
Espiar
Nivel de peligro: 1
Descripción: robar información del usuario (como archivos, etc.)
Visa de trabajo para graduados
p>Nivel de peligro: 2
Descripción: Comportamiento de robo de contraseñas.
Decilitro
Nivel de peligro: 3
Descripción: Descarga el virus y ejecútalo.
1. Términos del juicio:
No hay ninguna interfaz a la que se pueda acceder. La función lógica es: descargar un archivo de un sitio web para cargarlo o ejecutarlo.
2. Eventos desencadenados por condiciones lógicas:
Evento 1. El archivo no se puede descargar normalmente o no se puede considerar que el archivo descargado sea un virus.
Criterios operativos: si el archivo no puede cumplir con las condiciones de identificación de los componentes funcionales normales del software, se determina que es: troyano. decilitro
Evento 2. El archivo descargado es un virus.
Guía de operación: El archivo descargado es un virus y se determina que es: Trojan.
decilitro
IMMSG
Nivel de peligro: 4
Descripción: Difundir mensajes instantáneos a través de un operador poco claro o de varios operadores claros (este comportamiento es consistente con Worms que son diferentes. El propio gusano propaga virus, mientras que los troyanos sólo propagan mensajes).
MSNMSG
Nivel de peligro: 5
Descripción: Difundir mensajes instantáneos a través de MSN.
QQMSG
Nivel de peligro: 6
Descripción: Difunde mensajes instantáneos a través de OICQ.
ICQMSG
Nivel de peligro: 7
Descripción: Difusión de mensajes instantáneos a través de ICQ
UCMSG
Nivel de peligro :8
Descripción: Difundir mensajes instantáneos a través de UC.
Proxy
Nivel de peligro: 9
Descripción: Utiliza el ordenador infectado como servidor proxy.
Clicker
Nivel de peligro: 10
Descripción: Haga clic en la página web especificada.
Términos de juicio:
No hay ninguna interfaz que se pueda llamar. La función lógica es: hacer clic en una página web.
Principios de funcionamiento:
Si el archivo no cumple con las condiciones de identificación de los componentes funcionales normales del software, se determinará que es: Trojan.Clicker.
(Si el archivo cumple con los términos de identificación de los componentes funcionales del software normal, el software malicioso se determinará de acuerdo con las reglas de determinación de software malicioso).
Marcador
Nivel de peligro: 12
Descripción: El proceso de marcar para estafar dinero.
Nota: Si sus intereses y propósitos no se pueden describir, pero cumple con las características básicas de los virus troyanos, no es necesario describirlo con subcomportamientos específicos.
Compañía que proporciona servicios de red online de valor añadido en Estados Unidos (American On Line)
Conserva el nombre original del virus.
Notificar a la persona
Mantener el nombre original del virus.
Virus
Nivel de peligro: 4
Descripción: nombre chino: "virus infeccioso" se refiere al archivo host infectado (como un archivo PE, un virus DOS A). que adjunta código de virus a archivos COM, archivos VBS, archivos con macros ejecutables), permitiendo que el código de virus obtenga derechos de ejecución cuando se ejecuta el archivo host infectado.
Daño
Nivel de peligro: 5
Explicación: El nombre chino - "programas destructivos" se refiere a aquellos que no se propagan ni infectan, y después de ejecutar programas que dañan directamente la computadora local (como formatear el disco duro, eliminar una gran cantidad de archivos, etc.), lo que hace que la computadora local no pueda usarse normalmente.
Gotear cosas
Nivel de peligro: 6
Explicación: El nombre chino - "programa liberador de virus" se refiere a un programa que no pertenece a la instalación normal o autoextraíble, un programa que libera el virus y se ejecuta después de ejecutarlo.
Yo. Términos de juicio para quienes abandonan:
No existe una interfaz que se pueda llamar y la función lógica es: cargar o ejecutar archivos autoeditados.
2. Eventos desencadenados por condiciones lógicas:
Evento 1:. Los archivos publicados no son virus.
Guía de operación: si el archivo liberado no tiene una relación lógica con el liberador en sí y el archivo no cumple con las condiciones de reconocimiento de los componentes funcionales del software normal, se determinará como: Dropper.
Evento 2: El archivo publicado es un virus.
Guía de operación: El archivo publicado es un virus y el archivo está identificado como: Dropper.
Cortar
Nivel de peligro: Ninguno
Explicación: Nombre chino: "herramienta de piratería" se refiere a una herramienta que puede atacar a otras computadoras en la computadora local a través del red.
Explotación
Descripción: Herramienta de ataque de detección de vulnerabilidades
DDoser
Descripción: Herramienta de ataque de denegación de servicio
Flood Flooder
Descripción: herramienta de ataque de inundación
Nota: software relacionado con piratas informáticos, el método de ataque no está claro y no hay una descripción específica del subcomportamiento.
Spam
Descripción: Spam.
Nucker
Sniffer
Autor de poemas humorísticos y satíricos
Objeción
Descripción: Hackeo antivirus herramientas.
Adhesivo
Nivel de peligro: Ninguno
Descripción: Herramienta para unir virus.
Términos de identificación de componentes funcionales del software normal: el archivo verificado contiene la siguiente información para identificar el archivo como un componente funcional del software normal: información de la versión del archivo, información del software (valor de clave de registro, directorio de instalación), etc.
Ejecutar automáticamente
Nivel de peligro: 9
Descripción: Los archivos del sistema (usados) se propagan a través del disco USB
Un virus de este tipo Software antivirus no puede detectarlo.
Archivo host
El archivo host se refiere al tipo de archivo utilizado por el virus y tiene el atributo de mostrarlo. Actualmente, existen los siguientes archivos de hosts.
Descripción JS: archivo de script JavaScript
Descripción VBS: archivo de script VBScript
Descripción HTML: archivo HTML
Descripción de Java: clase Java Archivo
Descripción Com: archivo COM en Dos
Descripción Exe: archivo EXE en Dos
Descripción de arranque: área de arranque del disco duro o disquete
Descripción de Word: archivo de Microsoft Word
Descripción de Excel: archivo de MS Excel
Descripción de PE: archivo PE
Descripción de WinREG: archivo de registro
Descripción de Ruby: un script
Descripción de Python: un script
Descripción de BAT: archivo de script BAT
Descripción de IRC: script de IRC
Nombre principal
El nombre principal de un virus lo determinan los analistas en función de la cadena de firma utilizada por el virión, el comportamiento específico o la plataforma en la que se compiló. Si no está seguro, puede utilizar la cadena "Agente" en lugar del nombre principal, y los archivos de menos de 10k de tamaño pueden denominarse "Samll".
Información de la versión
La información de la versión solo puede ser números. Si la información de la versión no está clara, no se agregará ninguna información de la versión.
Nombre principal, número de variedad
Si el tipo de comportamiento principal, el tipo de comportamiento, el tipo de archivo host y el nombre principal del virus son iguales, se consideran virus del mismo familia. En este momento, se necesitan números de variante para distinguir diferentes registros de virus. Si un número de versión no es suficiente, se puede ampliar hasta con 3 dígitos, todos los cuales son letras minúsculas de la A a la Z, como aa, ab, aaa, aab, etc. Calculado automáticamente por el sistema, no se requiere entrada ni selección manual.
Nombre de la filial
Los archivos ejecutables con funciones auxiliares utilizadas por los virus generalmente se agregan a la base de datos de virus como virus. Estos registros de virus deben tener nombres de filial para distinguirlos de los virus. registro de virus. Actualmente, existen los siguientes nombres subsidiarios:
Descripción del cliente: el terminal de control del programa de puerta trasera.
KEY_HOOK Descripción: Módulo utilizado para enganchar el teclado.
API_HOOK Descripción: Módulo para enganchar API.
Descripción de la instalación: Módulo de instalación de virus.
Descripción Dll: Este archivo es una biblioteca dinámica que contiene muchas funciones.
(Vacío) Descripción: Sin nombre adjunto, este registro es el registro principal del virus.
Número de variedad de nombre subordinado
Si el tipo de comportamiento principal, el tipo de comportamiento, el tipo de archivo host, el nombre principal, la variación del nombre principal y el nombre subsidiario del virus son iguales, se considera ser el mismo. Las familias de virus necesitan números de mutación para distinguir diferentes registros de virus. El número de variante son las letras mudas A-Z. Si un número de versión no es suficiente, se puede ampliar hasta con tres dígitos, como aa, ab, aaa, aab, etc. Calculado automáticamente por el sistema, no se requiere entrada ni selección manual.
Longitud del virus
El campo de longitud del virus solo se usa para virus cuyo tipo de comportamiento principal es virus y el valor del campo es un número. Un valor de campo de 0 indica que la longitud del virus es variable.
Virus engañoso: nivel de alerta ★★★, virus gusano, propagado a través de correo electrónico, dependiente del sistema: WIN9X/NT/2000/XP.
Este virus está escrito en lenguaje VB. Después de ejecutarse, puede copiarse a cualquiera de varias carpetas del sistema. El nombre del archivo de virus se genera aleatoriamente y el tipo de archivo es incierto. Puede finalizar el funcionamiento de varios programas antivirus.
Envía una gran cantidad de mensajes con "tus datos", "¡has sido pirateado!", "falló la entrega del correo electrónico", etc. , el archivo adjunto del correo electrónico es un virus.
Los expertos en antivirus recomiendan: establecer buenos hábitos de seguridad, no abrir correos electrónicos ni sitios web sospechosos; cerrar o eliminar servicios innecesarios en el sistema; muchos virus utilizan vulnerabilidades para propagarse, así que asegúrese de parchearlos a tiempo; sistema; instale software antivirus profesional para monitoreo en tiempo real y habilite la función de monitoreo en tiempo real del software antivirus en cualquier momento al navegar por Internet;