在浏览病毒相关新闻的时候,往往会看到这样的字句:“近日,**全球反病毒监测网截获一个蠕虫病毒,并命名为‘尼姆亚(Worm.Nimaya)’”。病毒的中文名字“尼姆亚”谁都看得懂,后面那串英文却不见得被大家所熟悉。
其实,病毒的命名存在一定的规范(我们这里所说的病毒特指所有恶意程序,而不单指可自动感染和复制的狭义病毒),只要看那串英文名称,就可以知道这个病毒属于什么类型,是蠕虫病毒还是后门程序,通过什么途径传播,会产生什么样的危害。这所有的信息,就都体现在那串小小的英文中。
病毒名是由以下6字段组成的:主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号#附属名称.附属名称变种号.病毒长度。其中字段之间使用“.”分隔,#号以后属于内部信息,为推举结构。下面我们就来分别了解这些部分是如何设定的。
主名称:病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的,如果无法确定则可以用字符串”Agent”来代替主名称,小于10k大小的文件可以命名为“Samll”。
版本信息:版本信息只允许为数字,对于版本信息不明确的不加版本信息。
主名称变种号:如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位,并且都均为小写字母a~z,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。
附属名称:病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种:
Client:后门程序的控制端
KEY_HOOK:用于挂接键盘的模块
API_HOOK:用于挂接API的模块
Install:用于安装病毒的模块
Dll:文件为动态库,并且包含多种功能
空:没有附属名称,这条记录是病毒主体记录