McAfee病毒名稱含義

McAfee病毒名稱含義
作者:   日期: 2007-06-04 20:31
字體大小:小中大

最近比較喜歡用McAfee所以在網路上找了一下McAfee病毒名稱的說明
我們的防毒軟體通常按照業界通用的命名慣例識別它可以偵測和
清除的病毒。有時，某些病毒名稱會偏離嚴格的業界標準。
具有將其標記為獨特新實體之指定特徵集的第一個病毒會有一個
「族群」名稱。病毒研究員會根據病毒中的某些特徵或標誌指定族
群名稱，例如文字字串或負載效果。
族群名稱還可能包含指明病毒位元組大小的數字字串。研究員使用
此名稱作為區別較接近的病毒變種的簡單方法。
病毒族群中變種的名稱由族群名稱和後置字元（例如 BadVirus.a
）組成。後置字元按字母順序編製，直至到達 z 為止。然後，繼
續以 aa 開始直至到達 az。以後的變種的後置字元則從 ba 編
到 bz，等等，直至後置字元為 zz。若在此之後仍然有另一種變
種出現，它的後置字元會是 aaa。
隨著新病毒的不斷出現，業界命名慣例演化為包含更多的資訊。例
如，某些名稱包含某個部份用以標示病毒可以在哪種平台上執行。
在防毒供應商的病毒名稱中，可能包含前置字元、中置字元和後置
字元。
前置字元
前置字元指明病毒感染的檔案之類型或者可能有害的軟體執行的
平台之類型。感染 DOS 執行檔的病毒不會有前置字元。我們的命
名慣例包含以下前置字元：
A97M/ 感染 Microsoft Access 97 檔案的巨集病毒。
APM/  感染 Ami Pro 文件和範本檔案的巨集病毒或特
洛伊木馬程式。
Bat/  批次檔病毒或特洛伊木馬程式。這些病毒通常作為
批次檔或 script 執行，影響負責解譯它們所含
script 或批次指令的特定程式。它們可以非常
方便地移植，並且可以影響幾乎所有可以執行批次
檔或 script 檔案的平台。這些檔案本身通常具
有 BAT 副檔名。
CSC/  感染 Corel Draw 文件檔案、範本檔案和
script 的 Corel Script 病毒或特洛伊木馬
程式。
IRC/  網際網路轉接談天 (IRC) script 病毒。此病
毒類型可以使用舊版本的 mIRC 用戶端軟體散佈
病毒或負載。
JS/   使用 JavaScript 語言編寫的 script 病毒或
特洛伊木馬程式。
JV/   可能有害的 Java 應用程式或 applet。
Linux/使用 ELF 檔案格式為 Linux OS 編譯的病毒或
特洛伊木馬程式。
LWP/  可能有害的 Lotus WordPro 軟體。
MacHC/Apple Macintosh HyperCard script 語言
的病毒或特洛伊木馬程式。
MacOS/Apple Macintosh OS 6-9 版的病毒或特洛伊
木馬程式。
MSIL/ 使用 Microsoft 中介語言框架編寫的應用程式，
亦稱為 .NET。
P98M/ 感染 Microsoft Project 文件和範本的巨集
病毒或特洛伊木馬程式。
PalmOS/  Palm Pilot 病毒或特洛伊木馬程式。
PDF/  針對 Adobe PDF 檔案的檔案型病毒。
Perl/ 使用 Perl 語言編寫的 script 病毒或特洛伊
木馬程式。
PHP/  使用 PHP 語言編寫的 script 病毒或特洛伊木
馬程式。
PP97M/巨集病毒。感染 Microsoft PowerPoint 97 檔
案。
SunOS/可能有害的 Sun Solaris 軟體。
SWF/  可能有害的 Shockwave 軟體。
Unix/ UNIX 版本的程式或 shell script。
V5M/  感染 Visio VBA（Visual Basic for
Applications）巨集或 script 的巨集或
script 病毒。
VBS/  使用 Visual Basic Script 語言編寫的
script 病毒或特洛伊木馬程式。
W16/  在 16 位元 Microsoft Windows 環境
(Windows 3.1x) 下執行的檔案型病毒。
W2K/  32 位元 Microsoft Windows（即 Windows NT、
2000 或 XP）環境下可能有害的軟體。
W32/  在 32 位元 Microsoft Windows 環境
（Windows 95、Windows 98 或 Windows NT）
下執行的檔案型或開機磁區病毒。
W95/  在 Microsoft Windows 95、Windows 98 和
Windows ME 環境下執行的檔案型病毒。
W97M/ 感染 Microsoft Word 97 檔案的巨集病毒。
WHLP/ 針對 Windows HLP 檔案的 32 位元 Microsoft
Windows 環境下的可能有害的軟體。
WM/   感染 Microsoft Word 95 檔案的巨集病毒。
X97M/ 感染 Microsoft Excel 97 檔案的巨集病毒。
XF/   透過 Excel 公式感染 Microsoft Excel 95 或
97 的巨集病毒。
XM/   感染 Microsoft Excel 95 檔案的巨集病毒。
特洛伊木馬程式類別的前置字元
諸如「BackDoor-」之類的名稱代表屬於類似特洛伊木馬程式類別
的可能有害的軟體。類別名稱後面的其他字元代表族群（如
BackDoor-JZ）或名稱（如 BackDoor-Sub7）。
AdClicker 不斷存取廣告網站。
Adware-   未經授權安裝廣告軟體。
BackDoor- 透過網際網路或網路提供遠端存取或控制。
Dialer-   未經授權拔電話號碼。
DDoS-     作業方式與分散式阻絕服務元件一樣。
Del-      刪除檔案。
Downloader-  從網際網路下載軟體，通常會伴隨後門程
式、密碼竊取程式，有時是病毒。
Exploit-  使用弱點或軟體瑕疵。
FDoS-    表示洪水攻擊阻絕服務元件
KeyLog-   記錄按鍵以便傳輸給攻擊者。
Kit-      表示為建立病毒或特洛伊木馬程式而設計的程
式。
MultiDropper-
留下數個特洛伊木馬程式或病毒（通常有數個
不同的「後門程式」）。
Nuke-     使用遠端電腦軟體中的瑕疵使其當機。
ProcKill- 終止防毒和安全產品之處理程序。可能還會刪
除與此類應用程式相關聯的檔案。
PWS-      竊取密碼。
Reboot-   重新開機。
Reg-      未經使用者同意擅自修改登錄。例如，降低安
全設定值或建立異常關聯或設定值。
Spam-     作業方式與垃圾郵件工具一樣。
Spyware-  監視瀏覽習慣或其他行為並將資訊傳送出去，
通常為不請自來的廣告。
Uploader- 從電腦上傳送檔案或其他資料。
Vtool-    表示病毒編寫者或駭客開發軟體所使用的程式。
Zap-      清除全部或部份硬碟內容。
中置字元
這些病毒代號通常出現在病毒名稱的中間。以下這些 AVERT 指定
的代號與業界慣例有所不同。
.cmp. 新增到現有執行檔的協同檔案。我們的防毒軟體會
刪除該協同檔案避免日後感染病毒。
.mp.  舊版複合型 DOS 病毒。
.ow.  覆寫病毒。這用以標示會透過覆寫檔案中的資料而
使該檔案徹底損壞（不可修復）的病毒。此檔案必
須刪除。
後置字元
這些代號通常出現在病毒名稱最後的部份。病毒名稱可以有數個後
置字元。例如，一個可能指明變種，而另一個指明其他資訊。
@M       慢速郵件傳送程式。此病毒使用電子郵件系統進行
傳播。它通常回覆到傳入的郵件或將自身夾帶到傳
出的郵件，或直接傳送到電子郵件地址。
@MM      大量散佈郵件。此病毒可能使用標準的技術傳播自
己，但是也可能使用電子郵件系統傳播。
.a - .zzz   病毒變種。
根據 CARO（電腦防毒研究組織）命名慣例，供應商特定的後置字
元前面可以有「!」字元。我們的軟體使用以下後置字元：
apd   附加病毒。會將代碼附加到要感染的檔案，但是無
法正確複製的病毒。
bat   使用 BAT 語言編寫的軟體元件。
cav   Cavity 病毒。它用以代表將自己複製到程式檔
的 cavity（如全部為零的區域）區域的病毒。
cfg   網際網路特洛伊木馬程式組態元件（通常為
「BackDoor-」）。
cli   網際網路特洛伊木馬程式用戶端元件（通常為
「BackDoor-」）。
dam   損毀的檔案。由於感染而損毀的檔案。
demo  展示可能有害的動作之程式，如「探測程式」如何
工作的範例。
dr    Dropper（病毒安裝程式）檔案。此檔案會將病
毒引入主機程式。
gen   一般偵測。我們的軟體中本身帶有的常式毋須使用
特定的代碼字串即可偵測此病毒。
ini   mIRC 或 pIRCH script（在它是另一個病毒的
元件時）。
intd  「原定」病毒。此病毒具有大部份常見病毒特徵但
是無法正確複製。
irc   可能有害的軟體之 IRC 元件。
js    使用 JavaScript 語言編寫的可能有害的軟體
元件。
kit   使用「病毒建立套件」建立的病毒或特洛伊木馬程
式。
p2p   依靠對等通訊工作的可能有害的軟體。例如
Gnutella 和 Kazaa。
sfx   特洛伊木馬程式的自動解壓縮安裝公用程式。
src   病毒源代碼。它通常不會複製或者感染檔案，但是
某些病毒安裝程式會在感染過程中將它新增到檔
案中。我們的產品會例行地標記具有此類附加代碼
的的檔案借此將其刪除。
sub   取代型病毒。它會取代主體檔案，借此所有受感染
的主體都具有相同的容量並成為純粹的病毒。（也
就是說，它是複寫病毒的子類別。）
svr   網際網路特洛伊木馬程式伺服器端元件（通常為
「backdoor」）。
vbs   使用 Visual Basic Script 語言編寫的可能
有害的軟體元件。
電腦蟲病毒   一種可以複製自身的非寄生病毒，或透過將自身復
制到遠端電腦或使用任何檔案傳輸方法（如遠端分
享資源、對等、即時訊息傳送、IRC 檔案傳輸、
FTP 和 SMTP）將自身傳送出去借此在網路中傳
播的病毒。
一般偵測
我們的軟體通常可以預先偵測到大量可能有害的軟體。在大多數情
況下，即使 AVERT 沒有收到樣本，也可以成功清除此類物件。這
種偵測以「Generic」（一般）或「gen」後置字元表示。
欲提交樣本給 AVERT，請查看 AVERT 首頁。請參閱「聯絡 MCAFEE
SECURITY 和 NETWORK ASSOCIATES」。
啟髮式掃瞄偵測
我們的軟體可以啟髮式地偵測到大量新的可能有害的軟體。偵測到
的軟體在名稱中使用「New」前置字元作為標記（例如「New Worm」
和「New Win32」）。
欲提交啟髮式偵測到的任何樣本，請查看 AVERT 首頁。請參閱
「聯絡 MCAFEE SECURITY 和 NETWORK ASSOCIATES」。
應用程式偵測
我們的軟體可以偵測到可能不需要的應用程式，而它們無法歸類為
病毒或特洛伊木馬程式。其中包含某些 Adware、Spyware、
Dialers、可以隱藏自身的遠端存取軟體和許多使用者不想要的其
他類似的應用程式。不需要的應用程式還包括「玩笑程式」，但這
些程式可以使用掃瞄選項從偵測中排除。
from site :http://www.pmail.idv.tw/plog/index.php?load=read&id=225