Red de conocimiento informático - Espacio del host - Quiero saber algo sobre virus y troyanos.

Quiero saber algo sobre virus y troyanos.

Un código informático malicioso que puede dañar programas del sistema, ocupar espacio y robar contraseñas de cuentas. En serio, provocará la parálisis de la red y del sistema.

Los virus informáticos son parásitos, contagiosos, latentes, explosivos y destructivos, y son software informático.

Principales tipos de comportamiento y subtipos de comportamiento de virus

Un virus puede contener múltiples tipos de comportamiento principales. En este caso, el tipo de comportamiento principal con el nivel de peligro más alto puede determinarse por el nivel de peligro de cada tipo de comportamiento principal. Asimismo, un virus puede contener múltiples tipos de subcomportamientos. En este caso, el tipo de subcomportamiento con el nivel de peligro más alto puede determinarse por el nivel de peligro de cada tipo de comportamiento principal. El nivel de peligro se refiere al grado de peligrosidad del ordenador donde se encuentra el virus.

El tipo de comportamiento del virus principal tiene un atributo de mostrar o no, que se utiliza para ocultar el nombre del comportamiento principal al generar el nombre del virus. Tiene una relación correspondiente con el tipo de subcomportamiento del virus, como se muestra en la siguiente tabla:

Tipo de comportamiento principal Tipo de subcomportamiento

Secreto

Peligro nivel: 1

Descripción:

Nombre chino: "Puerta trasera" significa que se ejecuta de forma oculta sin el conocimiento o permiso del usuario y puede controlar de forma remota el sistema infectado y el el usuario no puede Los métodos normales prohíben su funcionamiento. "Backdoor" es en realidad un caso especial de caballo de Troya. La diferencia entre los dos es que la "puerta trasera" puede controlar de forma remota el sistema infectado (como la gestión de archivos y el control de procesos).

Gusano

Nivel de peligro: 2

Descripción:

Nombre chino: "gusano" se refiere a la explotación de vulnerabilidades del sistema para propagarse. El correo, los directorios, el software que puede transferir archivos (como MSN, OICQ, IRC, etc.) y los medios de almacenamiento extraíbles (como discos USB y disquetes) pueden propagar sus propios virus. Este tipo de comportamiento de subtipo de virus se utiliza para representar el método de transmisión utilizado por el virus.

Correo electrónico

Nivel de peligro: 1

Descripción: Transmitido por correo electrónico

Mensajería instantánea

Peligro nivel: 2

Descripción: Propagarse a través de un portador ambiguo o múltiples portadores claros.

Microsoft Network

Nivel de peligro: 3

Descripción: propagarse a través de MSN

Software de mensajería instantánea

Peligro Nivel: 4

Descripción: difundido a través de OICQ

Buscapersonas de Internet (un software de comunicación en red, equivalente a I Seek You)

Nivel de peligro: 5

Descripción: se propaga a través de ICQ

Red peer-to-peer

Nivel de peligro: 6

Descripción: se propaga a través de software P2P.

Conversación por retransmisión por Internet

Nivel de peligro: 7

Descripción: transmitida a través de ICR

Descripción: comunicación que no depende de otro software Métodos como explotar vulnerabilidades del sistema, directorios compartidos y medios de almacenamiento extraíbles.

Troyano

Nivel de peligro: 3

Descripción:

Nombre chino: "caballo de Troya" se refiere a un programa malicioso que se produce sin Sin el conocimiento del usuario, se ejecuta de forma oculta en el sistema infectado y el usuario no puede prohibir su funcionamiento mediante métodos normales. Este virus generalmente tiene un propósito lucrativo, y su propósito lucrativo también es un subcomportamiento de este virus.

Espiar

Nivel de peligro: 1

Descripción: robar información del usuario (como archivos, etc.)

Visa de trabajo para graduados

p>

Nivel de peligro: 2

Descripción: Comportamiento de robo de contraseñas.

Decilitro

Nivel de peligro: 3

Descripción: Descarga el virus y ejecútalo.

1. Términos del juicio:

No hay ninguna interfaz a la que se pueda acceder. La función lógica es: descargar un archivo de un sitio web para cargarlo o ejecutarlo.

2. Eventos desencadenados por condiciones lógicas:

Evento 1. El archivo no se puede descargar normalmente o no se puede considerar que el archivo descargado sea un virus.

Criterios operativos: si el archivo no puede cumplir con las condiciones de identificación de los componentes funcionales normales del software, se determina que es: troyano. decilitro

Evento 2. El archivo descargado es un virus.

Guía de operación: El archivo descargado es un virus y se determina que es: Trojan.

decilitro

IMMSG

Nivel de peligro: 4

Descripción: Difundir mensajes instantáneos a través de un operador poco claro o de varios operadores claros (este comportamiento es consistente con Worms que son diferentes. El propio gusano propaga virus, mientras que los troyanos sólo propagan mensajes).

MSNMSG

Nivel de peligro: 5

Descripción: Difundir mensajes instantáneos a través de MSN.

QQMSG

Nivel de peligro: 6

Descripción: Difunde mensajes instantáneos a través de OICQ.

ICQMSG

Nivel de peligro: 7

Descripción: Difusión de mensajes instantáneos a través de ICQ

UCMSG

Nivel de peligro :8

Descripción: Difundir mensajes instantáneos a través de UC.

Proxy

Nivel de peligro: 9

Descripción: Utiliza el ordenador infectado como servidor proxy.

Clicker

Nivel de peligro: 10

Descripción: Haga clic en la página web especificada.

Términos de juicio:

No hay ninguna interfaz que se pueda llamar. La función lógica es: hacer clic en una página web.

Principios de funcionamiento:

Si el archivo no cumple con las condiciones de identificación de los componentes funcionales normales del software, se determinará que es: Trojan.Clicker.

(Si el archivo cumple con los términos de identificación de los componentes funcionales del software normal, el software malicioso se determinará de acuerdo con las reglas de determinación de software malicioso).

Marcador

Nivel de peligro: 12

Descripción: El proceso de marcar para estafar dinero.

Nota: Si sus intereses y propósitos no se pueden describir, pero cumple con las características básicas de los virus troyanos, no es necesario describirlo con subcomportamientos específicos.

Compañía que proporciona servicios de red online de valor añadido en Estados Unidos (American On Line)

Conserva el nombre original del virus.

Notificar a la persona

Mantener el nombre original del virus.

Virus

Nivel de peligro: 4

Descripción: nombre chino: "virus infeccioso" se refiere al archivo host infectado (como un archivo PE, un virus DOS A). que adjunta código de virus a archivos COM, archivos VBS, archivos con macros ejecutables), permitiendo que el código de virus obtenga derechos de ejecución cuando se ejecuta el archivo host infectado.

Daño

Nivel de peligro: 5

Explicación: El nombre chino - "programas destructivos" se refiere a aquellos que no se propagan ni infectan, y después de ejecutar programas que dañan directamente la computadora local (como formatear el disco duro, eliminar una gran cantidad de archivos, etc.), lo que hace que la computadora local no pueda usarse normalmente.

Gotear cosas

Nivel de peligro: 6

Explicación: El nombre chino - "programa liberador de virus" se refiere a un programa que no pertenece a la instalación normal o autoextraíble, un programa que libera el virus y se ejecuta después de ejecutarlo.

Yo. Términos de juicio para quienes abandonan:

No existe una interfaz que se pueda llamar y la función lógica es: cargar o ejecutar archivos autoeditados.

2. Eventos desencadenados por condiciones lógicas:

Evento 1:. Los archivos publicados no son virus.

Guía de operación: si el archivo liberado no tiene una relación lógica con el liberador en sí y el archivo no cumple con las condiciones de reconocimiento de los componentes funcionales del software normal, se determinará como: Dropper.

Evento 2: El archivo publicado es un virus.

Guía de operación: El archivo publicado es un virus y el archivo está identificado como: Dropper.

Cortar

Nivel de peligro: Ninguno

Explicación: Nombre chino: "herramienta de piratería" se refiere a una herramienta que puede atacar a otras computadoras en la computadora local a través del red.

Explotación

Descripción: Herramienta de ataque de detección de vulnerabilidades

DDoser

Descripción: Herramienta de ataque de denegación de servicio

Flood Flooder

Descripción: herramienta de ataque de inundación

Nota: software relacionado con piratas informáticos, el método de ataque no está claro y no hay una descripción específica del subcomportamiento.

Spam

Descripción: Spam.

Nucker

Sniffer

Autor de poemas humorísticos y satíricos

Objeción

Descripción: Hackeo antivirus herramientas.

Adhesivo

Nivel de peligro: Ninguno

Descripción: Herramienta para unir virus.

Términos de identificación de componentes funcionales del software normal: el archivo verificado contiene la siguiente información para identificar el archivo como un componente funcional del software normal: información de la versión del archivo, información del software (valor de clave de registro, directorio de instalación), etc.

Ejecutar automáticamente

Nivel de peligro: 9

Descripción: Los archivos del sistema (usados) se propagan a través del disco USB

Un virus de este tipo Software antivirus no puede detectarlo.

Archivo host

El archivo host se refiere al tipo de archivo utilizado por el virus y tiene el atributo de mostrarlo. Actualmente, existen los siguientes archivos de hosts.

Descripción JS: archivo de script JavaScript

Descripción VBS: archivo de script VBScript

Descripción HTML: archivo HTML

Descripción de Java: clase Java Archivo

Descripción Com: archivo COM en Dos

Descripción Exe: archivo EXE en Dos

Descripción de arranque: área de arranque del disco duro o disquete

Descripción de Word: archivo de Microsoft Word

Descripción de Excel: archivo de MS Excel

Descripción de PE: archivo PE

Descripción de WinREG: archivo de registro

Descripción de Ruby: un script

Descripción de Python: un script

Descripción de BAT: archivo de script BAT

Descripción de IRC: script de IRC

Nombre principal

El nombre principal de un virus lo determinan los analistas en función de la cadena de firma utilizada por el virión, el comportamiento específico o la plataforma en la que se compiló. Si no está seguro, puede utilizar la cadena "Agente" en lugar del nombre principal, y los archivos de menos de 10k de tamaño pueden denominarse "Samll".

Información de la versión

La información de la versión solo puede ser números. Si la información de la versión no está clara, no se agregará ninguna información de la versión.

Nombre principal, número de variedad

Si el tipo de comportamiento principal, el tipo de comportamiento, el tipo de archivo host y el nombre principal del virus son iguales, se consideran virus del mismo familia. En este momento, se necesitan números de variante para distinguir diferentes registros de virus. Si un número de versión no es suficiente, se puede ampliar hasta con 3 dígitos, todos los cuales son letras minúsculas de la A a la Z, como aa, ab, aaa, aab, etc. Calculado automáticamente por el sistema, no se requiere entrada ni selección manual.

Nombre de la filial

Los archivos ejecutables con funciones auxiliares utilizadas por los virus generalmente se agregan a la base de datos de virus como virus. Estos registros de virus deben tener nombres de filial para distinguirlos de los virus. registro de virus. Actualmente, existen los siguientes nombres subsidiarios:

Descripción del cliente: el terminal de control del programa de puerta trasera.

KEY_HOOK Descripción: Módulo utilizado para enganchar el teclado.

API_HOOK Descripción: Módulo para enganchar API.

Descripción de la instalación: Módulo de instalación de virus.

Descripción Dll: Este archivo es una biblioteca dinámica que contiene muchas funciones.

(Vacío) Descripción: Sin nombre adjunto, este registro es el registro principal del virus.

Número de variedad de nombre subordinado

Si el tipo de comportamiento principal, el tipo de comportamiento, el tipo de archivo host, el nombre principal, la variación del nombre principal y el nombre subsidiario del virus son iguales, se considera ser el mismo. Las familias de virus necesitan números de mutación para distinguir diferentes registros de virus. El número de variante son las letras mudas A-Z. Si un número de versión no es suficiente, se puede ampliar hasta con tres dígitos, como aa, ab, aaa, aab, etc. Calculado automáticamente por el sistema, no se requiere entrada ni selección manual.

Longitud del virus

El campo de longitud del virus solo se usa para virus cuyo tipo de comportamiento principal es virus y el valor del campo es un número. Un valor de campo de 0 indica que la longitud del virus es variable.

Virus engañoso: nivel de alerta ★★★, virus gusano, propagado a través de correo electrónico, dependiente del sistema: WIN9X/NT/2000/XP.

Este virus está escrito en lenguaje VB. Después de ejecutarse, puede copiarse a cualquiera de varias carpetas del sistema. El nombre del archivo de virus se genera aleatoriamente y el tipo de archivo es incierto. Puede finalizar el funcionamiento de varios programas antivirus.

Envía una gran cantidad de mensajes con "tus datos", "¡has sido pirateado!", "falló la entrega del correo electrónico", etc. , el archivo adjunto del correo electrónico es un virus.

Los expertos en antivirus recomiendan: establecer buenos hábitos de seguridad, no abrir correos electrónicos ni sitios web sospechosos; cerrar o eliminar servicios innecesarios en el sistema; muchos virus utilizan vulnerabilidades para propagarse, así que asegúrese de parchearlos a tiempo; sistema; instale software antivirus profesional para monitoreo en tiempo real y habilite la función de monitoreo en tiempo real del software antivirus en cualquier momento al navegar por Internet;