主行为类型

子行为类型

Backdoor
危害级别：1
说明：
中文名称—“后门”， 是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制，而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例，它们之间的区别在于“后门”可以对被感染的系统进行远程控制（如：文件管理、进程控制等）。

Worm
危害级别：2
说明：
中文名称—“蠕虫”，是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件（如：MSN、OICQ、IRC等）、可移动存储介质（如：U盘、软盘），这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。

Mail
危害级别：1
说明：通过邮件传播

IM
危害级别：2
说明：通过某个不明确的载体或多个明确的载体传播自己

MSN
危害级别：3
说明：通过MSN传播

QQ
危害级别：4
说明：通过OICQ传播

ICQ
危害级别：5
说明：通过ICQ传播

P2P
危害级别：6
说明：通过P2P软件传播

IRC
危害级别：7
说明：通过ICR传播

说明：不依赖其他软件进行传播的传播方式，如：利用系统漏洞、共享目录、可移动存储介质。

Trojan
危害级别：3
说明：
中文名称—“木马”，是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行，而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的，它的利益目的也就是这种病毒的子行为。

Spy
危害级别：1
说明：窃取用户信息（如：文件等）

PSW
危害级别：2
说明：具有窃取密码的行为

DL
危害级别：3
说明：下载病毒并运行
一、判定条款:
没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行.
二、逻辑条件引发的事件:
事件1、.不能正常下载或下载的文件不能判定为病毒。
操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL
事件2.下载的文件是病毒
操作准则: 下载的文件是病毒,确定为: Trojan.DL

IMMSG
危害级别：4
说明：通过某个不明确的载体或多个明确的载体传播即时消息（这一行为与蠕虫的传播行为不同，蠕虫是传播病毒自己，木马仅仅是传播消息）

MSNMSG
危害级别：5
说明：通过MSN传播即时消息

QQMSG
危害级别：6
说明：通过OICQ传播即时消息

ICQMSG
危害级别：7
说明：通过ICQ传播即时消息

UCMSG
危害级别：8
说明：通过UC传播即时消息

Proxy
危害级别：9
说明：将被感染的计算机作为代理服务器

Clicker
危害级别：10
说明：点击指定的网页
判定条款:
没有可调出的任何界面,逻辑功能为:点击某网页。
操作准则:
该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。
(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定)

Dialer
危害级别：12
说明：通过拨号来骗取Money的程序

说明：无法描述其利益目的但又符合木马病毒的基本特征，则不用具体的子行为进行描述

AOL
按照原来病毒名命名保留。

Notifier
按照原来病毒名命名保留。

Virus
危害级别：4
说明：中文名称—“感染型病毒”，是指将病毒代码附加到被感染的宿主文件（如：PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件）中，使病毒代码在被感染宿主文件运行时取得运行权的病毒。

Harm
危害级别：5
说明：中文名称—“破坏性程序”，是指那些不会传播也不感染，运行后直接破坏本地计算机（如：格式化硬盘、大量删除文件等）导致本地计算机无法正常使用的程序。

Dropper
危害级别：6
说明：中文名称—“释放病毒的程序”，是指不属于正常的安装或自解压程序，并且运行后释放病毒并将它们运行。

一．Dropper判定条款:
没有可调出的任何界面，逻辑功能为:自释放文件加载或运行。

二．逻辑条件引发的事件:
事件1：.释放的文件不是病毒。
操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper
事件2：释放的文件是病毒。
操作准则: 释放的文件是病毒，确定该文件为:Droper

Hack
危害级别：无
说明：中文名称—“黑客工具”，是指可以在本地计算机通过网络攻击其他计算机的工具。

Exploit
说明：漏洞探测攻击工具

DDoser
说明：拒绝服务攻击工具

Flooder
说明：洪水攻击工具

说明：不能明确攻击方式并与黑客相关的软件，则不用具体的子行为进行描述

Spam
说明：垃圾邮件。

Nuker

Sniffer

Spoofer

Anti
说明：免杀的黑客工具

Binder
危害级别：无
说明：捆绑病毒的工具