移动互联网恶意代码命名格式
移动互联网恶意代码采用分段式格式命名,前四段为必选项,使用英文(不区分大小写)或数字标识;第五段起为扩展字段,扩展字段为可选项,内容使用中括号“[]”标识,主要用于标识其它重要信息或中文通用名称,扩展字段可增加多个。
受影响操作系统编码.恶意代码属性主分类编码.恶意代码名称.变种名称.[扩展字段]
如:
- s.remote.dumusicplay.b.[毒媒]
- a.remote.adrd.a.[红透透]
- w.privacy.mobilespy.c
- i.spread.ikee.a
- b.privacy.txsbbspy.a
- p.remote.vapor.a
- j.payment.swapi.e
受影响操作系统编码
受影响操作系统及编码包括但不限于以下类型:
- a:Android
- b:Black Berry
- bd:Bada
- i:IPhone IOS
- j:J2ME(Java 2 Micro Edition)
- m:MTK
- p:Palm OS
- s:Symbian
- w:Windows Mobile\WinCE\Windows Phone
- o:其它类型的平台
恶意代码属性主分类编码
本规范将移动互联网恶意代码属性按危害程度及包含关系排序,如某恶意代码具有多个属性,则以排序靠前的属性作为主分类,以便于对其进行描述,方便公众识别。
移动互联网恶意代码属性主分类编码及排序如下:
排序 | 编码 | 属性主分类 |
---|---|---|
1 | payment | 恶意扣费 |
2 | privacy | 隐私窃取 |
3 | remote | 远程控制 |
4 | spread | 恶意传播 |
5 | expense | 资费消耗 |
6 | system | 系统破坏 |
7 | fraud | 诱骗欺诈 |
8 | rogue | 流氓行为 |
恶意代码名称
恶意代码名称可使用解开安装包或压缩格式后的恶意代码主程序的可执行文件名、主要进程的名称或特征字符串命名,亦可使用主程序体中第一个可用的ASCII码串命名。原则上应遵循使用第一个公开报告的名称。
扩展字段中的通用中文名称可使用安装包的中文名称、可执行文件运行界面的中文名称、进程连接的网站名称等。原则上应遵循使用第一个公开报告的名称。
变种名称
如果恶意代码样本解开安装包或压缩格式后的主程序MD5 值不一致,而其行为、特征及属性均相同,则认为是同一家族的恶意代码,这时需要用变种名称来区分。变种名称根据样本发现顺序采用英文字母依次命名。第一个发现的样本命名为a,第二个命名为b,第 27 个发现的样本命名为aa,第 28 个命名为ab,以此类推。