5.4 恶意代码的命名规则
计算机端和移动端的恶意代码虽然有很多相似的地方,如均可以获取用户隐私信息,但二者命名规则不同,这是由于二者不同的恶意代码分类和不同的发展历史等多方面因素决定的。
在计算机端,恶意代码病毒的命名并没有一个统一的规定,每个反病毒公司的命名规则都不太一样,但基本都是采用前、后缀法来进行命名的,可以是多个前缀、后缀组合,中间以小数点分隔,一般格式为:[前缀].[病毒名].[后缀]。
1.病毒前缀
病毒前缀是指一个病毒的种类,我们常见的木马病毒的前缀是“Trojan”,蠕虫病毒的前缀是“Worm”,其他前缀还有如“Macro”“Backdoor”“Script”等。
2.病毒名
病毒名是指一个病毒名称,如以前很有名的CIH病毒,它和它的一些变种都是统一的“CIH”,还有振荡波蠕虫病毒,它的病毒名则是“Sasser”。
3.病毒后缀
病毒后缀是指一个病毒的变种特征,一般是采用英文中的26个字母来表示的,如“Worm.Sasser.c”是指振荡波蠕虫病毒的变种c。如果病毒的变种太多了,也可以采用数字和字母混合的方法来表示病毒的变种。
几种常见的恶意代码命名前缀见表5.2。
表5.2 几种常见的恶意代码命名前缀
续表
Android端恶意代码命名规则如下所述(该命名规则来源于《中华人民共和国通信行业标准——移动互联网恶意程序描述格式》)。
移动互联网恶意程序采用分段式格式命名,前4段为必选项,使用英文(不区分大小写)或数字标识;第5段起为扩展字段,扩展字段为可选项,内容使用中括号“[]”标识,可使用任何Unicode字符,扩展字段可增加多个。命名格式如下:
受影响操作系统编码.恶意程序属性主分类编码.恶意程序名称.变种名称.[扩展字段]
如:
本标准将移动互联网恶意程序属性按危害程度及包含关系排序,如某恶意程序具有多个属性,则以排序靠前的属性作为主分类,以便于对其进行描述,方便公众识别。
移动互联网恶意程序属性主分类编码及排序见表5.3。
表5.3 移动互联网恶意程序属性主分类编码及排序
