教你看懂火绒的报毒名 神奇的知识又增加了嗷

安全软件的报毒想必大家都见过，点击清除病毒后，也会有点担心和疑问：我中了什么毒，这毒有啥危害？想看一眼报毒界 面吧，又是一脸茫然。今天，带工程狮于老师就领大家认识一下火绒的报毒规则，增加一些实（shen）用（qi）的知识。

看懂火绒的报毒名，其实很简单的，无非就是知道两点：“这毒叫啥——病毒家族名”；“这毒做什么的——病毒类型”。

病毒类型很好懂，类似于病毒“干活“的工种，表示不同类型危害，像勒索病毒敲诈赎金、蠕虫病毒无限复制搞破坏、流氓程序做捆绑推广的勾当等等。文章后面会附上目前常见的病毒类型和简单说明，大家课后可以眼熟一下。

那么问题来了，单一的病毒类型，比如勒索病毒只管加密勒索，如何传播出去呢？后门病毒在用户电脑上开了后门后，谁来走这个后门干坏事呢？

病毒们也不傻：单干吃力不讨好，那就狼狈为奸呀。

为了达成不法目的，一个病毒通常由多个类型的病毒模块构成，传播的传播，盗号的盗号，勒索的勒索等等，可谓分工明确干活不累。

这么多病毒模块组成一大家子即一个病毒家族。安全厂商发现一个病毒家族后，会根据病毒作者留下的签名、或者病毒的一些明显特征，为它取一个名字，这就是病毒家族名。比如WannaCry家族，就是根据作者留下的信息取的。

由于安全厂商不同，所以会出现一个病毒家族有不同家族名的现象。当某个家族名传播较为广泛的时候，大家便会约定俗成统一叫法，这也是有利于辨认的。

搞懂病毒类型和病毒家族名后，再来看火绒的报毒方式就很简单了。

我们报毒的主要展示信息就是“病毒类型/病毒家族名”。比如：Backdoor/FakeExtent。Backdoor是病毒类型（后门病毒），FakeExtent是病毒家族名。

要注意的是，火绒会对整个家族中的病毒模块单独报毒，绝不会错过或者含糊其辞。然后，会将危害最严重的病毒类型作为整个病毒家族的类型。比如下图火绒对FakeExtent病毒家族的不同模块的报毒是不一样的，但最终会将该家族定性为后门病毒。

于老师：我再举个栗子！

比如有一家做坏事的三兄弟，大哥负责开锁撬门，二哥在一旁望风，老幺则入室盗窃。警察叔叔抓获后会分别将三人单独记录在案（单独对病毒模块报毒），发现这个犯罪家族有烫头的爱好，就取名为“烫头大盗”（家族名），最后，再根据情节最严重的老幺的行为，将整个犯罪行为定性为入室盗窃（病毒类型）。

这下总明白了吧。了解病毒家族名，我们就能拎清火绒报毒的类型；知道病毒类型，我们就知道了病毒的危害；晓得了病毒危害，也就自然找得到预防方式了。

比如在发现蠕虫这类传播性强的病毒时，除了全盘查杀外，也要检查一下是否存在文件共享，是否有被感染的U盘；或者在家庭、企业有多台机器情况下，一台发现该病毒时，也要扫描一下其他电脑，防止被家族其它病毒模块横向感染……甚至还可以在向我们反馈问题或求助时，能够准确描述病毒情况，帮助工程师快速了解详情。

“当然了，让报毒这件事变得这么清晰、明确，得益于火绒的反病毒引擎，让我们不会以‘恶意威胁’等含糊的名词来描述，做到报毒有依。而这，也恰是所有反病毒引擎该具备的基本工作原则。“于老师表示。

“具体的病毒类型和描述我们的报毒界面就有介绍。附录中我列举一些大家常遇见的病毒类型和简单的描述，大家做好笔记，下次再遇到火绒报毒窗口就不会摸不着头脑了，大家放心大胆的该处理处理，有不懂的随时找我提问。”

附录一：用户常见病毒类型

1、蠕虫病毒：Worm

能无限复制自身，就像小强一样。当发现一个蠕虫病毒的时候，可能就会藏了一窝蠕虫了。这时候就要全盘扫描查杀一下了。

2、感染型病毒：Virus

中了感染型病毒后，会有很多看似“正常”的软件被频繁报毒，包括浏览器、播放器、Office文件等等，不知道的还以为是误报呢。遇到后赶紧全盘查杀了。

3、勒索病毒：Ransom

大家比较熟悉了，做加密文件索要赎金的“敲竹杠”买卖。看到火绒报毒后，说明加密行为被阻止了。如果不幸被加密，也可以联系我们工程师看下是否可以解密，千万不要轻信网上解密方法，以免造成二次损失。

4、流氓程序：Rogue

一些软件程序为了获取流量，进行静默安装、捆绑推广等恶意行为，会被火绒拦截报毒。可以了解一下火绒防流氓的“软件安装拦截”和“下载站下载器”拦截功能，专治流氓！

5、广告程序：Adware

看见这个报毒，说明某个程序有大量的弹窗推广行为，火绒直接当成病毒查杀了。所以，如果大家发现有程序乱弹广告，可以反馈给我们。

附录二：火绒完整报毒名顺序介绍。

火绒的报毒和国外厂商的原则相似，遵循“CARO“原则，包含“前缀：主类型/平台类型.病毒家族名称.变种号!后缀”。如：HEUR:TrojanDownloader/JS.Nemucod.a。通常为方便辨认，在报毒界面只显示“病毒类型/病毒家族名.变种”。