夜火博客 个人的碎碎念收集箱

教你用简单的方法判断未知病毒,菜鸟也会!!

转自:慕容晓旭

这篇文章是我在kv反病毒社区,发表的。

江民的未知病毒对于高手还是很有用的,但是对于新手就摸不了头脑了,今天介绍个方法教你怎样判断可疑病毒


首先,运行江民未知病毒检测程序,检测完毕后,选中你可疑率比较高的的程序,如图




按此在新窗口浏览图片


找到可疑文件



按此在新窗口浏览图片


压缩可疑程序



按此在新窗口浏览图片


按此在新窗口浏览图片


以下为国外三个多引擎免费样本查毒网页,如果大家有什么可疑文件,
可以通过这三个网页把这个文件提交上去,然后系统会自动利用
多家防病毒软件的引擎和毒库为您检验该病毒。


网页地址


http://www.virustotal.com/en/indexf.html [24个引擎,15M最大附件 需要排队]
http://virusscan.jotti.org/ [15个引擎,2M最大附件]


http://scanner.virus.org/
使用这个帖子里的在线扫描进行扫描,因为毕竟卡巴斯基不是对每个病毒的反映都是最快的
注意 nod32 vba32 antivir一些启发式扫描比较厉害的软件有误报,但对未知病毒也最有效,注意看病毒名。




按此在新窗口浏览图片


点击上传后,慢慢等待(取决与你网速),一般一分钟内就扫描完了。


现在看看刚才上传的可疑文件有多少款杀软报杀了,呵呵




按此在新窗口浏览图片


结果看见了吧没有一款杀软报杀,当然没有一款杀毒软件报杀,并不代表它不是病毒,至少它是病毒的可能性很小,我就看见过kv报杀的病毒,其他杀软没有一家报杀的,如果你还不放心,就上报kv吧。


现在我们看一个病毒(估计该病毒是美国的,运行后,防火墙不断提示要连接到美国加州),这个病毒目前kv不报,但确实是病毒,看看效果如何,呵呵。




按此在新窗口浏览图片


我们看看多引擎扫描的结果.........



此主题相关图片如下:
按此在新窗口浏览图片



此主题相关图片如下:
按此在新窗口浏览图片


看见结果了吧,只有少部分杀软没报,没多说的了,这是病毒,赶快上报kv。



如何根据病毒名识别病毒


虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。一般格式为: <病毒前缀>.<病毒名>.<病毒后缀>
病毒前缀是指一个病毒的种类病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的 &ldquo; CIH &rdquo;,
病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。


1、系统病毒
系统病毒的前缀为: Win32 、PE等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件


2、蠕虫病毒
蠕虫病毒的前缀是:Worm 。这种病毒的公有特性是通过网络或者系统漏洞进行传播。比如威金。


3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。比如QQ大盗:Trojan.QQpass.


4、脚本病毒
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的,病毒脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。


5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。


6、后门病毒
后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。比如: Backdoor/Huigezi.cm &ldquo;灰鸽子&rdquo;变种cm


7、病毒种植程序病毒
病毒种植程序病毒的前缀是:Dropper。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。TrojanDropper.Mht.Psyme.esb&ldquo;怕米&rdquo;变种esb


8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。比如Harm/Laors.b2


9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(joke/girlghost.d )病毒。


10.捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)。


以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见。


相信这些对新手有一定帮助,本人水平有限,发现有欠妥的地方及时的提出来,以免我误人子弟 ^_^

这篇文章是我以前在kv反病毒社区,发表的。今天把它放在这里分享一哈。

 

留言列表
发表评论
来宾的头像