什么是启发型木马病毒?
启发式究竟指什么―启发式‖(Heuristic)是指探索和发现的行为或过程。牛津英文词典将启发式定义为―让某人能够自主的探索和学习‖或者(在计算领域)―仅依靠宽泛的定义,或者依靠不断尝试和汲取失败经验教训的方法来解决问题[6]。‖韦氏词典将其定义为―依靠实验尤其是反复试验,通过尝试和汲取失败经验教训的方法,来帮助学习、探索或者解决问题‖或者(在计算领域)―一种利用自主学习的手段(通过反馈的评估)来提高表现,以探索解决问题的技术[7]。‖ 启发式程序通常被认为是一种具有人工智能的应用程序,而且也是一种解决问题的工具。启发式程序的编写,例如用于专门系统的程序,建立于一些从经验中提取的规则,它通过不断积累经验产生更好的解决方法,并且增加自己的知识库。
当启发式分析被用于处理恶意软件时(当然还包括垃圾邮件和流氓软件),尽管涉及反复试验和从经验中学习的原理,却又有更多限定的含义。启发式分析使用基于规则的方法来诊断一个有潜在威胁的文件(或信息,如果是分析垃圾邮件的话)。分析引擎的工作是基于自身规则库的,它依据规则检查恶意软件存在的可能性,当找到一个匹配的规则时就为其分配一个分值。如果这些分值达到或超过了一个阈值[8],这个文件就会被标记为可疑文件(或者潜在的恶意软件、垃圾邮件)并进行处理。 某种意义上来说,针对反恶意软件的启发式技术,尝试的是模拟人类的智能分析方法。与恶意软件分析人员设法判定某个软件的行为和动作相同,启发式分析执行相同的智能决策过程,有效地担当虚拟分析师的角色。恶意软件分析人员从出现的新生威胁中不断学习,并将他的知识通过编程应用于启发式分析器,以提高今后的检测率。
启发式编程在反病毒软件性能中有着双重的任务:速度和检测。事实上,―启发式‖这个术语在其他科学领域也有类似的含义[9];即专注于通过达到―足够好‖的结果(尤其指数据吞吐速度)而非―完美的‖结果来提高性能。当已知病毒的数量与日俱增,就需要提高检测速度。否则,增长的恶意软件数量所带来额外扫描时间,会降低系统的使用效率。 否定式启发
一种检测规则或标准,如果检测对象符合标准,则不是病毒或恶意软件的可能性减小。肯定式启发
一种检测规则或标准,如果检测对象符合标准,则是病毒或恶意软件的可能性加大。 误杀漏杀原因争论的焦点在于,判断一个程序是不是木马程序(或恶意软件),是否应更多根据其目的来界定,而非功能来界定。例如,一个键盘记录程序如果是经过用户授权或用户自愿安装的,即使它的功能与木马程序是相同的,那么它也不算是木马程序。这会给检测带来问题,因为电脑在判断目的方面的能力弱于人类。
间谍软件和广告软件(可能由于媒体的过多关注,以及大量针对性产品的存在)已经被划分为了不同恶意软件的子类。尽管人们经常争论,广告软件不一定就是恶意软件,但这种区别是大多情况下没有意义的。而同样的争论也适用于该类别的几乎所有其他项目,因为一个程序的行为并不能作为判定恶意软件的标准,而是在于程序员的不良意图与用户期望值之间存在着的差别。 病毒三大类文件病毒
期待反病毒软件检测病毒,当然是合情合理的。因为多年来反病毒软件在检测病毒方面如此成功,也正是由于这部分原因,以至于它检测其它类型恶意软件的能力被低估了。
虽然病毒有很多种定义,但一种被恶意软件研究者普遍接受的定义是―病毒是一种计算机程序,它能通过将复制自身(或者自身的变体)修改计算机中的其他程序,以达到感染目的‖ [1, 2]。 这个定义涵盖了很多种类型的病毒,包括:
�8�4 引导型病毒,硬盘分区病毒
�8�4 文件型病毒(寄生病毒)
�8�4 混合型病毒
�8�4 宏病毒和脚本病毒尽管有些病毒类型现在已经很少见了(比如引导型病毒和硬盘分区病毒),但是反病毒程序一般都能检测在该平台上(有时包括其它平台)发现的这类已知病毒。通常,反病毒软件也善于通过启发式的方式检测新的或未知的病毒种类。蠕虫
业界从未在蠕虫的定义上真正地达成一致,如科恩所说―蠕虫是一种病毒的特例‖ [1],但不论蠕虫是怎样的特例,反病毒软件通常都能检测它们。 对于蠕虫的不同定义甚至比针对病毒的还要多,但是大部分反病毒研究者将蠕虫定义为一种以非寄生方式复制的程序,也就是说,它不把它自身附加到一个寄主文件上。邮件群发者可以描述为一种特殊类型的蠕虫. 多数反病毒厂商将这种通过电子邮件传播的恶意软件视为蠕虫,但是一些邮件群发者具有纯病毒的特点(比如,Melissa事实上是一种纯病毒,一种能够像蠕虫一样传播的宏病毒,而W32/Magistr则是一种文件型病毒)。 对于新型蠕虫变种的检测,厂商同样有很好的手段。比如说,新型邮件群发器几乎在出现的同时,就被通信安全服务供应商及其系统列入了黑名单.
非复制型恶意软件
这个定义是根据上文的定义得出来的,即如果一个恶意软件不具有复制能力,那它就不是病毒或者蠕虫。但是这并不意味着反病毒软件不能检测到它,除非其不具有威胁。
要说明的是,即使当反病毒厂商过去常以非复制型的对象不是病毒为由拒绝对它们的检测时,一些非自我复制的对象(它们当中的一些甚至不是可执行程序,更不要说是有恶意的了)仍然能被检测到并且报毒。例如:�8�4 未遂病毒(复制自身失败的病毒)和损坏的病毒
�8�4 垃圾文件
�8�4 与病毒相关的非病毒程序,如病毒原体,释放器,病毒生成器
�8�4 合法的测试程序如EICAR测试文件[4]
许多已传播多年的非复制型病毒,由于管理不善,仍然被一些评测机构作为样本,用于针对杀毒软件的测试中。绝大部分厂商早已不再拒绝将这些病毒的特征码添加到其产品的病毒库中,避免因没有检测出这些病毒样本,而取得不理想的测试成绩。遗憾的是,日趋复杂的启发式扫描引擎,也只是刚好跟上了杀毒软件测试者不断更新的测试手段,有时新的测试手段也并非恰当。本文的后面部分会简略地分析测试产品启发式扫描能力时,技术上可接受的方式。 人们了解最多的非复制型恶意软件是木马程序(或简称为木马)。木马程序声称能执行一些有用的操作或提供一些必要的功能,可能也确实如此。但同时它也会执行一些用户并不希望或不需要的操作。这包括一系列特定的恶意软件:
�8�4 病毒释放器;
�8�4 键盘记录器;
�8�4 破坏性木马程序;
�8�4 下载者;
�8�4 间谍程序;
�8�4 广告程序;
�8�4 内核后门与stealthkits
�8�4 玩笑程序;
�8�4 僵尸程序 (机器人程序, 远程控制木马, DDoS 客户端等)
可自我复制的恶意软件(如病毒)有时也被认为是木马程序(或称为木马型病毒,这表示这种木马通过将一个以前合法的程序损坏,修改或替换而引起破坏),大部分人可能会发现这样的分类所带来的困惑多于帮助。检测出所有非复制型恶意软件要比检测出所有形式的病毒更加困难,因为不仅要测试程序的复制能力,还要测试程序的一系列作用。
HEUR/Malware.QVM40.Gen是一种启发性木马病毒?什么叫启发性木马病毒?
启发性木马就是病毒库中没有纪录的病毒,是杀软根据特征扫描出来的,但并没有完全确定,存在误判的可能。
用360安全卫士查出 木马:[启发型病毒] Backdoor.Generic.252282,请问这是什么病毒?会干些什么?
Backdoor.Generic.252282,是一个木马后门程序。
360hotfix文件夹是下载的系统漏洞补丁,一般来说不会出现木马!如果有,说明是被感染了!可以用杀软杀掉的!需要说明的是360hotfix文件里面的补丁,可以删除的,没用的和已经修复后的补丁都是可以删除的!
最后,我想说的就是:可以肯定不是象有些人说得那样360有意放置后门程序!盗取用户资料!试想,它会自己查出自己的后门吗?那不是捡起石头砸自己的脚!再说了Backdoor.Generic.252282是个很常见的木马,一点技术含量都没有!
nts174.tmp.p2p 木马:【启发型病毒】 TR.ATRAPS.Gen 是什么可以删吗
隔离区的病毒木马不会发作,不要马上删除。因为杀毒软件误杀的行为是常有的。你可以重新启动计算机,启动后把你常用的软件都打开看看有没有问题,如果都能打开不影响功能,就在杀毒软件的隔离区选择删除。
用360安全卫士查出 木马:[启发型病毒] Backdoor.Generic.252282,请问这是什么木马?危害是什么?
1、盗取我们的网游账号,威胁我们的虚拟财产的安全。
木马病毒会盗取我们的网游账号,它会盗取我们帐号后,并立即将帐号中的游戏装备转移,再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。
2、盗取我们的网银信息,威胁我们的真实财产的安全。木马采用键盘记录等方式盗取我们的网银帐号和密码,并发送给黑客,直接导致我们的经济损失。
3、利用即时通讯软件盗取我们的身份,传播木马病毒。中了此类木马病毒后,可能导致我们的经济损失。在中了木马后电脑会下载病毒作者指定的程序任意程序,具有不确定的危害性。如恶作剧等。
启发型病毒就是杀病毒库中还没有记录的病毒,有误判的可能性。 启发型扫描是通过分析指令出现的顺序,或组合情况来决定文件是否感染,每个对象都要检查,这种方式查毒效果是最高的,但也最可能出现误报。 而且杀软启发时它的病毒库还没有此病毒的记录,主要是针对某一病毒的变种等。其实就是分析对象文件与病毒特征库中的病毒原码进行比较,当二者匹配率大于某一值时(通常这一值较小,所以容易误报),杀毒软件就会将其列为可疑文件以进行下一步的处理。 这就是所谓启发型病毒。
后门程序(Backdoor.Generic.252282)