所有被卡巴斯基反病毒產品所檢測到的物件都會按照如下命名規則系統命名:
[Prefix:]Behaviour.Platform.Name[.Variant]

 

命名首碼[Prefix:]是標識被檢測物件是由哪個子系統識別的。

HEUR:”首碼表示物件是由啟發式分析器檢測到的,

PDM:”首碼表示物件是由主動防禦模組(proactive defense module)檢測到的。

  UDS:DangerousObject.Multi.Generic是卡巴斯基KSN檢測到的威脅
該首碼不一定是檢測全名中的一部分,不是強制性的。也可能不出現在檢測名中。
Behaviour(行為命名)是指定所檢測到的對象會發生什麼惡意行為。

對於病毒(Virus)與蠕蟲(Worms),選擇用這個名稱定義物件行為是根據傳播手段。

對於木馬(Trojan)與惡意工具(Malicious Tools),選擇用這個名稱定義物件行為是根據惡意的有效載荷。

對於可疑殼(Suspicious Packers),選擇用這個名稱定義物件行為是根據殼的活動方式。

對於廣告軟體(Adware)、風險軟體(Riskware)、色情軟體(Pornware),選擇用這個名稱定義物件行為是根據被檢測物件的使用功能。

Platform(平臺)是一個能夠運行可執行檔代碼的環境。這個可能同時涉及到軟體與硬體。
對於所檢測到物件可能能夠在一個或者多個平臺上運行,那麼platform(平臺)就會被定義為“Multi.”。惡意軟體Virus.Multi.Etapux就是一個多(跨)平臺的惡意程式。

Name(命名名稱)是給被檢測物件的官方的命名名稱,該命名名稱可能是根據被檢測物件的家族成分定義的。
家族一詞是用來指一組物件的檢測,該組物件共用同樣的起源(作者,原始程式碼),操作規則或者有效載荷。舉個例子,惡意程式Trojan.Win32.StartPage家族是用來改變Internet browser首頁,StartPage這詞就能夠體現出來。
variant(變種)是標識某類被修改的惡意對象。變種可能被一個數位或者一個短語來標識,通常都是以 ‘.a’: ‘.a’ – ‘.z’, ‘.aa’ – ‘.zz’ 等開始命名。
該變種名稱不一定是檢測全名中的一部分,不是強制性的。也可能不出現在檢測名中。

最後修改日期: 2016-03-29

作者

Leave a Reply

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料

  Subscribe  
Notify of