用病毒名字分析病毒

452758168 · 发表于 2011-2-23 14:59:54

想成为一名合格的黑客，首先要学会成为Script Boy。但是当我们下载黑客工具、删除此帖、病毒的时候，杀毒软件就会提醒我们有病毒。对于很多新手同学来说，每当看到病毒提示的时候就会打怵，有的甚至去质疑别人“为什么黑客工具会报毒...云云”。有经验的同学或许会说，下一个虚拟机、用影子系统、用SandBox什么的了。但我觉得，我们还是应该学会从病毒的名称开始学会分析这是一个怎样的病毒。
当我们运行一个含特征码的程序时，杀软会出来这样的提示(360的提示我想大家都很熟悉)。大多数人可能因为害怕中毒而点了删除，要么就是不敢再运行了。不过，如果我们仔细看一下杀软给的提示，分析一下病毒的名称，结合自己对病毒知识的了解，就可以轻松判断这种病毒是否对我们的计算机有害。
这里说一下计算机病毒的概念（我觉得大家应该首先区分好病毒、删除此帖、蠕虫、黑客工具、后门等一系列的区别，并且了解一下杀毒软件的工作原理）
编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒（Computer Virus）。具有破坏性，复制性和传染性。
计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。如：熊猫烧香病毒（尼姆亚病毒变种）。而在一般教科书及通用资料中被定义为:利用计算机软件与硬件的缺陷，由被感染机内部发出的破坏计算机数据并影响计算机正常工作的一组指令集或程序代码。计算机病毒最早出现在70年代 David Gerrold 科幻小说 When H.A.R.L.I.E. was One.最早科学定义出现在 1983:在Fred Cohen (南加大) 的博士论文 “计算机病毒实验”“一种能把自己(或经演变)注入其它程序的计算机程序”启动区病毒,宏(macro)病毒,脚本(script)病毒也是相同概念传播机制同生物病毒类似.生物病毒是把自己注入细胞之中。
通常杀毒软件都是通过特征码对一些病毒、删除此帖来进行定性的，当然更高级的可以根据病毒的行为来判断。所以说，并不是说被杀毒软件提示有毒就是病毒，就会破坏系统。例如黑客工具、病毒样本、游戏辅助，其本身都含有被杀毒软件判断为病毒的机制，但却又不会对我们有危害。
好了，现在我们言归正传，我在这里主要就是告诉大家一些判断病毒的基本知识。病毒名的一般格式都是采用三段来标识的：<病毒前缀>.<病毒名>.<病毒后缀> 。
这里给大家列举一小段扫描报告为例：
Backdoor.Win32.Nuclear.~L@779798
E:\HACKER\TrojWare.Win32.PSW.LdPinch.~HP@1852437
E:\HACKER\Backdoor.Win32.Nucleroot.NAB@89601
E:\HACKER\Backdoor.Win32.Bandok.j@5314232
E:\HACKER\Backdoor.Win32.Nuclear.ag@6194658
E:\HACKER\Backdoor.Win32.Nuclear.NAG@109155
E:\HACKER\Backdoor.Win32.Nuclear.NAG@149563
E:\HACKER\TrojWare.Win32.PSW.Delf.vg@5527870
E:\HACKER\UnclassifiedMalware@9221441
E:\HACKER\TrojWare.Win32.PSW.LdPinch.~HP@1852437
E:\HACKER\Backdoor.Win32.Bandok.AV@108534 E:\HACKER\
病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的删除此帖病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。
病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如上述报告中的'Nuclear'、'Nucleroot'就是病毒名。
病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如 Worm.Sasser.b 就是指振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多，可以采用数字与字母混合表示变种标。如果跟简单一点的说的话，那么拿灰G子举例，灰G子之所以不断可以逃过杀毒软件的追杀，就是因为其变种不断，如果我们比较其杀毒软件提供的名称，会发现其前缀与病毒名是相同的，但是后缀不同。
首先我们来大致了解一下前缀的区分，和病毒的分类，这有利于我们判断病毒的危害性具体的我会当作附录放在文章的最后面。
系统病毒：
前缀为Win32、PE、Win95、W32、W95，这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播，当然大多数时候是来表示该病毒的运行环境。（Linux的不列举，大家没几个用Linux的）。
删除此帖病毒、黑客病毒
Trojan、Hack，这类病毒一般为远控删除此帖、请版主删除此帖删除此帖、删除此帖插件等一系列删除此帖类的病毒，该类病毒大家接触的最多，虽然不具有破坏性，但是会窃取资料。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)。
脚本病毒
脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码(Script.Redlof)。脚本病毒还会有如下前缀：VBS、JS(表明是何种脚本编写的)，如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。我想大家玩过一些强制关机，、倒计时关机一类的VBS脚本文件，有的时候该类文件也会被判断为病毒的。
宏病毒
其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。
后门病毒
后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。比我我示意免杀技术时用到的Bandook就属于Backdoor一类
病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
破坏性程序病毒
破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
玩笑病毒
玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼(Joke.Girlghost)病毒。
捆绑机病毒
捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等
黑客工具
其前缀为：HackTool，这一类是我们最为常见的，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。如啊D、明小子、HDSI、NBSI以及其他一些常用的黑客工具，有时其也会被标识为Application,不过因为黑客工具功能繁多，所以在主名称后会有附属名称，我们可以通过其来判断程序的功能。如：Inject为注入、Remote为远程连接等。
当然还有很多病毒的类型，如下载病毒了啊、蠕虫病毒了啦什么的，不过太多也无法一一列举（汗一个，主要是我没那么些样本）
接下来是病毒的主名称，其标识该病毒的名称或者家族名，我们可以通过它来判断我们中了什么病毒。
病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的，如果无法确定则可以用字符串”Agent”来代替主名称，小于10k大小的文件可以命名为“Samll”。　　
版本信息　　
版本信息只允许为数字，对于版本信息不明确的不加版本信息。　　
主名称变种号　　
如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位，并且都均为小写字母a—z，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。　　　
附属名称变种号　　
如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z，如果一位版本号不够用则最多可以扩展3位，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。　　病毒长度　　病毒长度字段只用于主行为类型为感染型（Virus）的病毒，字段的值为数字。字段值为0，表示病毒长度可变。
由于病毒名称与后缀太多，而且变种的表示也比较繁杂，所以我们只需要将它们与前缀联系起来，大致知道这是一个什么病毒，然后查询一下解决方案。。当然如果有兴趣的童鞋可以自己做病毒分析来追踪一个病毒，也可以提交专业网站进行分析。Backdoor，危害级别：1，　　
说明：中文名称—“后门”，是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制，而且用户无法通过正常的方法禁止其运行。“后门”其实是删除此帖的一种特例，它们之间的区别在于“后门”可以对被感染的系统进行远程控制（如：文件管理、进程控制等）。　
Worm，危害级别：2，　　
说明：中文名称—“蠕虫”，是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件（如：MSN、OICQ、IRC等）、可移动存储介质（如：U盘、软盘），这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。　Mail，危害级别： 1说明：通过邮件传播　
IM，危害级别： 2，说明：通过某个不明确的载体或多个明确的载体传播自己　　MSN，危害级别：3，说明：通过MSN传播　　
QQ，危害级别：4，说明：通过OICQ传播　
ICQ危害级别：5，说明：通过ICQ传播　　
P2P，危害级别：6，说明：通过P2P软件传播　　
IRC，危害级别：7，说明：通过ICR传播　　
其他，说明：不依赖其他软件进行传播的传播方式，如：利用系统漏洞、共享目录、可移动存储介质。　　
Trojan，危害级别：3，
说明：中文名称—“删除此帖”，是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行，而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的，它的利益目的也就是这种病毒的子行为。　　
Spy，危害级别：1，说明：窃取用户信息（如文件等）　　
PSW，危害级别：2，说明：具有窃取密码的行为　　
DL，危害级别：3，说明：下载病毒并运行，判定条款：没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行. 　　逻辑条件引发的事件: 　　事件1、.不能正常下载或下载的文件不能判定为病毒，操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL 　　事件2.下载的文件是病毒，操作准则: 下载的文件是病毒,确定为: Trojan.DL 　　
IMMSG，危害级别：4，说明：通过某个不明确的载体或多个明确的载体传播即时消息（这一行为与蠕虫的传播行为不同，蠕虫是传播病毒自己，删除此帖仅仅是传播消息）