赛门铁克安全响应中心网站常用的术语 |
|---|
|
| www.iselong.com 作者: |
|
以下词汇表包含赛门铁克安全响应中心网站常用的术语。请参考本列表或常见问题解答 (英文) 页以查找术语的定义及有关 Internet 安全其他问题的解答。
.dam
指被病毒破坏的文件,或是因含有病毒或蠕虫残余而不能正常、稳定运行的文件。
.dr
是指用作“投载工具 (dropper)”的文件。这是一个将病毒或蠕虫植入受害人计算机的程序。
.enc
是指被加密或编码的文件。例如,使用 MIME 编码创建自身复本的蠕虫会被检测到具有 .enc 后缀。
@m
表示病毒或蠕虫是“信件投递者”。如 VBS.Chic.F@m,它只在您(用户)发送邮件时进行自身发送。
@mm
表示病毒或蠕虫是“大宗邮件投递者”。如 W32.Bugbear@mm,,它会向您邮箱中的每个电子邮件地址发送邮件。
也称为
其他防病毒厂商用来识别该威胁的名称。通常,赛门铁克的 bloodhound 启发式技术会在新增特定检测之前识别潜在的威胁。在这种情况下,bloodhound 检测的名称将出现在该字段中。
Beta 版病毒定义
Beta 版病毒定义尚未经过赛门铁克安全响应中心的质量监控测试。虽然赛门铁克安全响应中心努力确保所有病毒定义可正确发挥作用,但您也应当注意 Beta 版病毒定义仍会带来其他风险。在高危病毒爆发,而用户不想或无法等到病毒定义经过全面质量监控测试时,Beta 版病毒定义是十分有用的。
混合型威胁
混合型威胁结合了病毒、蠕虫、特洛伊木马和恶意代码的特性及服务器和 Internet 漏洞利用来启动、传送和扩散攻击。混合型威胁通过利用多种方法和技术,可以快速地进行扩散并造成覆盖面更广的破坏。混合型威胁的特性包括:
- 造成破坏:在目标 IP 地址启动拒绝服务攻击、破坏 Web 服务器或植入特洛伊木马程序以便伺机执行。
- 通过多种方法传播:扫描漏洞以威胁系统的安全(如在服务器上的 html 文件中嵌入代码)、感染访问者以威胁网站的安全或从受到安全威胁的服务器发送带有蠕虫附件的非授权电子邮件。
- 从多个点进行攻击:将恶意代码注入系统上的 .exe 文件中,提高来宾帐户的权限级别,创建可被广泛读写的网络共享,进行大量的注册表更改,以及在 html 文件中加入脚本代码。
- 无需人工干预即可传播:不断扫描 Internet 以查找可被攻击的服务器。
- 利用安全漏洞:利用已知的安全漏洞,如缓冲区溢出、http 输入校验漏洞和已知的默认密码等来获得非法的管理员访问权限。
要对混合型威胁进行有效的防御,需要具有多层防御和响应机制的综合安全解决方案。
Bug(错误)
软件程序中存在的编程错误,可能会带来不必要的副作用。例如,各种 Web 浏览器安全问题、Y2K 软件问题。
造成系统不稳定
可能造成计算机死机或出现异常。
危及安全设置
试图获得对密码或其他系统级安全设置的访问权限。也可以搜索计算机 Internet 组件中的缺口,安装便于他人通过 Internet 控制该系统的程序。
CVE 参考
安全漏洞及其他信息安全风险标准名称的列表 - CVE 意在使所有已知漏洞和安全风险的名称标准化。
损坏程度
用于衡量特定威胁造成的破坏程度。其中包括触发的事件、对电子邮件服务器的阻塞、删除或修改文件、发布保密信息、性能降低、病毒代码中的错误、危害安全设置以及损坏可修复的难易程度。
降低性能
指减慢了计算机的操作速度。包括分配可用内存、创建消耗磁盘空间的文件或造成程序加载或执行过慢。
删除文件
指删除硬盘上的各种文件。被删除文件的数量和类型因感染不同的病毒而各异。
分发
用于衡量威胁可自行传播的速度。
加密的病毒
通过加密来逃避病毒扫描程序检测的病毒。即,将其程序代码打乱使其不易被检测到。
Exploit
利用软件中的漏洞通过网络进行安全破坏或攻击的程序或技术。
防火墙规则
使用规则来禁止或允许您的计算机与 Internet 间进行连接和数据传送的安全机制。
地理分布
计量各报告病毒感染地区的范围。分为高度(全球性威胁)、中度(在少数几个地区出现的威胁)、低度(在当地出现或波及面不广的威胁)。
HLLW
是指用高级语言编译而成的蠕虫。
注意:这个修饰字不一定会被用作前缀;它指 DOS 下高级语言编译的蠕虫。如果蠕虫是 W32 文件,正确的名字是 W32.HLLW.
感染长度
以字节为单位,表示病毒插入程序中的病毒代码大小。对于蠕虫或特洛伊木马,该长度则表示该文件的大小。
入侵检测
通过查看日志或网络可用的其他信息来检测入侵企图。
大量电子邮件发送
向许多人发送电子邮件。通常是访问本地地址簿并向其中特定数量的人发送电子邮件。
宏病毒
以某应用程序的内部宏语言编写的程序或代码片段。有些宏病毒会进行复制,而有些会感染文档。
MD5
一个散列函数,比如 MD5,是一个将任意长度的数据字符串转化成短的固定长度的值的单向操作。任意两个字符串不应有相同的散列值。
一个 MD5 校验和(checksum)通过对接收的传输数据执行散列运算来检查数据的正确性。计算出的散列值拿来和随数据传输的散列值比较。如果两个值相同,说明传输的数据完整无误、没有被窜改过,从而可以放心使用。
移动代码
从一台主机传输到客户端(或另一台主机)后执行(运行)的代码。当我们谈及恶意移动代码时,会以蠕虫作为范例。
修改文件
更改计算机上文件的内容,并且可能破坏文件。
附件名称
大多数蠕虫是作为邮件的附件进行传播。是此类附件一般使用的名称。
国家/地区数量
计量已知发生病毒感染的国家/地区的数量。
感染数量
计量已知被感染了病毒的计算机数量。
站点数量
计量具有受感染计算机的地点的数量。通常是指公司、政府机构等组织。
有效载荷
是病毒执行的恶意活动。不是所有病毒都有有效载荷,但有些会执行破坏性活动。
有效载荷触发器
是指造成病毒激活或投载其破坏性有效载荷的条件。有些病毒会在特定的日期触发其有效载荷。而另一些会基于某些程序的执行或 Internet 连接的可用性来触发。
多态病毒
此类病毒具有在进行复制时改变其形式的能力,从而避免被简单的字符串扫描技术检测到。
端口
指威胁试图使用的 TCP/IP 端口。
发布保密信息
试图访问存储在计算机上的重要数据,如信用卡号码。
消除威胁能力
衡量从指定计算机消除威胁所需的技术水平。这有时涉及删除文件和修改注册表项。其中包括三个级别:困难(需要有经验的技术人员)、一般(要求某些专业技术)、容易(要求很少或不要求专业技术)。
Retrovirus
一种积极攻击防病毒程序以阻止病毒检测的计算机病毒。
序列号
只有 Norton AntiVirus 企业版产品使用序列号,用来表示最新病毒定义或所需病毒定义的日期。序列号是按顺序分配给病毒定义集,并且总是累加的。具有较高序列号的病毒定义集会替代具有较低序列号的病毒定义集。
共享驱动器
指威胁是否会试图通过用户经过验证的映射驱动器或其他服务器卷进行自身复制。
附件大小
指附加到受感染电子邮件的文件的大小。
电子邮件主题
有些蠕虫通过电子邮件将其自身发送给其他人。这里是指由蠕虫发送的电子邮件的主题。
受影响的系统
指受到威胁的系统或应用程序。
未受影响的系统
指未受到威胁的系统或应用程序。系统的列表会随特定威胁信息的细化而有所改变。
技术说明
用于说明有关感染的特定详细信息,如注册表项修改和被病毒操控的文件等。
威胁评估
病毒、蠕虫或特洛伊木马的严重级别。包括威胁造成的损坏、向其他计算机传播的速度(分发)以及已知波及的范围(广度)。
威胁遏制能力
衡量当前防病毒技术可防止威胁传播的能力。一般,对于较旧的病毒技术已能完全地控制;新的威胁类型或非常复杂的病毒相对比较难以控制,对于用户的威胁也就相对严重一些。级别分为容易(威胁易于控制)、一般(威胁可部分控制)及困难(威胁当前无法控制)。
附件的时戳
是指附件文件的日期和时间。
类型:欺骗
一般是以连锁方式发送的电子邮件,其中描述了某种耸人听闻的病毒。您一般可以识破此类欺骗:没有附件、没有可证实声明的第三方证明人以及此类邮件惯用的“语气”。
类型:玩笑
在您计算机上显示各种良性活动的无害程序(如,意想不到的屏幕保护程序)。
类型:特洛伊木马
不会自行复制,但会危害计算机安全的程序。通常,它依赖于其他人向您发送邮件而进行发送,它不会自行发送。它会以玩笑程序或某类软件的形式“借尸还魂”。
类型:病毒
可复制并通过插入和附着来感染其他程序、引导区、分区或支持宏的文档的程序。大多数病毒只是进行复制,也有许多会造成破坏。
类型:蠕虫
可自行复制的程序,如从一个磁盘驱动器复制到另一个,或使用电子邮件或其他传输方式自行复制。它一定会损坏并危害计算机的安全。它会以玩笑程序或某类软件的形式出现。
变种
直接“借用”其他已知病毒的代码,而具有不同严重性的新病毒。通常在病毒家族名称后使用一个或多个字母来表示变种,如 VBS.LoveLetter.B.、VBS.LoveLetter.C 等。
病毒定义 (Intelligent UpdaterTM)
Intelligent UpdaterTM 病毒定义已经过赛门铁克安全响应中心的全面质量监控检测。会在工作日(周一至周五,美国时间)发布。必须从赛门铁克安全响应中心下载病毒定义,并进行手动安装。公司网络管理员和从事有潜在网络安全危险活动的最终用户(如打开来自未知发件人的电子邮件附件或意外收到的电子邮件中的附件、从新闻组或可疑网站下载文件等)可从每天下载和安装 Intelligent UpdaterTM 病毒定义获益匪浅。
家庭用户:即使可能,家庭用户也不必每天都下载和安装 Intellingent Updater 病毒定义。赛门铁克每天都会收到新病毒的样本,我们也会不断为这些病毒生成新的病毒定义。但是在许多情况下,病毒波及的范围并不广或者范围广但感染情况并不多。在所有情况下,如果我们检测到某个病毒在一定范围内快速地传播,我们会立即发布 LiveUpdate 包来保护我们的客户。此外,如果您怀疑可能感染了某种病毒,可以利用“扫描和发送”功能将可能感染病毒文件提交给赛门铁克安全响应中心进行分析。我们会将处理该感染所需的 Intelligent Updater 包发送给您。
病毒定义 (LiveUpdateTM)
LiveUpdateTM 是获取病毒定义和产品更新最简便的方法。这些病毒定义经过赛门铁克安全响应中心的全面质量监控检测,如果未遇重大病毒爆发情况,会在每周的某个时间发布在 LiveUpdateTM 服务器上(一般为星期三)。LiveUpdateTM 过程中包括三个阶段:
- LiveUpdateTM 下载可用更新的列表,将其与已安装的程序进行匹配,确定是否有适用于这些应用程序的更新,然后显示适用的更新的列表。
注意:如果使用自动 LiveUpdateTM,并使用其默认设置,它会在有新病毒定义时自动进行下载(仅限于病毒定义)。
- 下载所选择的更新。
- 在下载更新文件后,LiveUpdateTM 会自动安装病毒定义和更新。
漏洞
允许某些人阻止计算机系统正确操作,或使未授权用户可以控制该系统的特性。
漏洞管理
可识别和消除可被利用来危害计算机信息财产的保密性、完整性或可用性的弱点,是一项预防性工作;可在漏洞被利用来危害计算机信息财产之前就可识别和消除漏洞。
广度
计量病毒已在计算机用户中传播的范围。其中包括:受感染的独立站点数量、受感染计算机的数量、感染的地理分布、当前技术抵抗威胁的能力以及病毒的复杂性。
Zoo
只存在于病毒和防病毒实验室的威胁。大多数 zoo 威胁绝不会广泛传播,因此也很少威胁用户。
|
