SuperDAT 软件包安装程序 1.8.0 版 发行说明 版权所有 (c) 1992-2004 Networks Associates Technology, Inc. 保留所有权利 =============================================== 感谢您使用 SuperDAT 软件包安装程序。本文件中包含关于这一 版本的重要信息。我们建议您阅读整篇文档。 必须具有有效的 PrimeSupport 协议才能下载产品更新和升级, 包括引擎和 DAT 更新。下载任何附加的文件,都说明您承认当 前与 Network Associates 签订了有效的 PrimeSupport 协议。 _______________________________________________ 目录 - 什么是 DAT 文件? - 什么是 SuperDAT 软件包安装程序? - 什么是 XDAT 文件? - 何时使用 SuperDAT 软件包安装程序 - 支持的 McAfee 产品 - 新的引擎功能 - 使用 SuperDAT 软件包安装程序进行更新和升级 - 关于软件包安装程序 - 安装 DAT 文件和引擎文件 - 运行 SuperDAT 软件包安装程序 - 命令行选项 - 通过网络管理软件分发 SuperDAT 文件 - 修改 SuperDAT 软件包以便与自动升级功能配合使用 - 本 SuperDAT 软件包包含的文件 - 测试安装的软件 - 已知问题 - 了解病毒名称 - 前缀 - 特洛伊木马程序类的前缀 - 中缀 - 后缀 - 常规检测 - 启发式检测 - 应用程序检测 - 文档 - 与 McAfee Security 和 Network Associates 联系 - 版权和商标归属 - 商标 - 许可协议 _______________________________________________ 什么是 DAT 文件? 病毒定义(或 DAT)文件,其中包含最新的病毒特征码和其他信 息,我们的防病毒产品会用它们来保护您的计算机免受目前数千种 计算机病毒和其他可能有害软件的侵害。每月都会出现数百种新的 病毒威胁,因此我们每星期都会发行新的 DAT 文件。当 AVERT 发 现具有中等或较高风险的病毒时,我们也会发行新的 DAT 文件。 为了确保您的防病毒软件能够保护系统或网络免受最新病毒的威 胁,必须下载并安装最新的 DAT 文件。要了解从何处下载,请参 阅“与 MCAFEE SECURITY 和 NETWORK ASSOCIATES 联系”部分。 _______________________________________________ 什么是 SuperDAT 软件包安装程序? 为了对付新的复杂病毒,有时需要升级防病毒软件的扫描引擎才能 正确响应病毒感染。这通常需要一个完整的产品版本。而 SuperDAT 软件包安装程序提供了一个全面的应用方案,可以同 时安装扫描引擎和 DAT 文件,从而使防病毒软件能够检测和清除 感染病毒的文件。 SuperDAT 软件包安装程序大大简化了每次升级组件时的软件部 署过程。它会关闭可能与更新过程冲突的所有现行防病毒扫描、服 务或驻留内存的其他软件组件。安装程序会随后将新文件复制到适 当位置,以使您的防病毒软件能够立即使用。 本文件包含 DAT 文件和一个负责安装这些文件的程序,也可能包 括新的病毒扫描引擎和其他程序组件。这种文件的名称格式为 SDATxxxx.EXE,其中 xxxx 是四位数的 DAT 版本号,例如 4321。 _______________________________________________ 什么是 XDAT 文件? 本文件名称的格式为 xxxxXDAT.EXE,其中 xxxx 是四位数的 DAT 版本号,例如 4321。 本软件包会为您的防病毒产品安装更新后的 DAT 文件。与 SuperDAT 软件包安装程序类似,它会关闭可能与更新过程冲突 的所有现行防病毒扫描、服务或驻留内存的其他软件组件。它会随 后将新文件复制到适当位置,以使您的防病毒软件能够立即使用。 然而,XDAT 软件包只更新您的 DAT 文件。因此,如果已经安装 了最新的病毒扫描引擎并想节省时间和带宽,您可以下载这个软件包。 本安装程序支持的平台和产品与 SuperDAT 软件包安装程序相同。 _______________________________________________ 何时使用 SUPERDAT 软件包安装程序 我们建议您使用 SuperDAT 软件包安装程序更新和升级支持的所 有防病毒软件版本。您可以继续使用其他更新或升级方式,但 SuperDAT 软件包安装程序提供的方式最简单,也最有效。如果 只想更新 DAT 文件并下载较小的软件包,请使用 XDAT 文件。 _______________________________________________ 支持的 MCAFEE 产品 1. 结束节点解决方案 - VirusScan for Microsoft Windows 95/98 4.5 和 更新版本 - VirusScan for Microsoft Windows NT/2000 4.5 和更新版本 - VirusScan TC for Microsoft Windows 95/98/NT/2000 6.0 和更新版本 - NetShield for Microsoft Windows NT/2000 4.5 和更新版本 - VirusScan TC 6.0 和 6.1 - VirusScan Enterprise 7.0 - VirusScan Retail 和 VirusScan Professional 6.0、6.01、6.02 和更新版本 2. 网关解决方案 - GroupShield 4.x for Microsoft Exchange 5.5 - GroupShield 4.x for Microsoft Exchange 2000 - GroupShield 5.x for Microsoft Exchange 5.5 - GroupShield 5.x for Microsoft Exchange 2000 - GroupShield 5.x for Lotus Domino – Intel - WebShield SMTP 4.5 MR1a _______________________________________________ 新的引擎功能 - 支持 Microsoft Office 2003 XML 文档 - 更加完善的 RAR 格式支持 - 更加完善的最新 ZIP 文件格式支持 - 更加完善的 ZIP 毁损文件支持 _______________________________________________ 使用 SuperDAT 软件包安装程序进行更新和升级 关于软件包安装程序 SuperDAT 软件包安装程序是一个标准的应用程序,您可以从 Microsoft Windows 中双击启动它。Windows 95、Windows 98、Windows ME、Windows NT 和 Windows 2000 版本的安 装程序都包含一个向导。请按照面板中的说明更新您的文件。 要点: 要升级 NetShield for Microsoft Windows NT 和 VirusScan for Microsoft Windows NT 这两个防病毒 软件的病毒扫描引擎,必须以具有管理员权限的身份登录到目 标计算机。 如果只使用用户级权限登录到目标计算机,则 SuperDAT 软 件包安装程序将不会升级病毒扫描引擎。 如果不能直接以管理员身份登录到目标计算机,您可以转而使 用这些软件自带的自动升级功能来制定升级任务计划。自动升 级功能在运行计划的更新任务时会用到管理员权限,但如果您 单击了“立即更新”按钮,则不会使用管理员权限。 请参阅本文件后面的“修改 SuperDAT 软件包以便与自动升 级功能配合使用”了解详细信息。 安装 DAT 文件和引擎文件 我们以压缩格式分发 DAT 文件和引擎文件更新,以便缩短传输时 间。对于 SuperDAT 软件包安装程序,这些更新文件都压缩在一 个单独的可执行文件中。这种文件的名称格式为 SDATxxxx.EXE, 其中 xxxx 是四位数的 DAT 版本号,例如 4321。 要用 SuperDAT 软件包安装程序更新或升级防病毒软件,请在硬 盘上创建一个临时目录,然后从 Network Associates 网站将 SDAT 文件下载到这个目录。 无需解压缩或采取任何操作即可运行这个文件。 运行 SuperDAT 软件包安装程序 找到并双击 SuperDAT 软件包安装程序的程序图标,以启动安装 向导。按说明更新您的防病毒软件。 注释: 当 SuperDAT 软件包安装程序运行完毕后,如果不想保留一 个副本以备将来更新或升级之用,您可以从硬盘中删除它。 您也可以从命令提示符运行这个安装程序,并可以使用几个选项。 请参阅本文件后面的“命令行选项”了解每个选项。 要从命令提示符运行 SuperDAT 软件包安装程序: 1. 单击 Microsoft Windows 任务栏中的“开始”按钮,然后 选择“运行”。 2. 在“运行”对话框中键入 X:\SDATxxxx.EXE,并使用所需 的选项。 其中,X: 表示存放该文件的驱动器和位置路径,xxxx 表示四 位数的 DAT 版本号,例如 4321。 3. 单击“确定”。 4. 安装程序将使用您指定的选项运行。 注释: 某些选项不能运行安装程序,而是提供信息或者负责解压缩软 件包文件。请参阅“命令行选项”了解详细信息。 命令行选项 SuperDAT 软件包安装程序有几个选项,您可以用这些选项来指 定各种更新方法或获取信息: /logfile <路径\文件名> 这个选项命令安装程序以您指定的文件名和路径保存日志文件。 默认情况下,SuperDAT 软件包安装程序在当前工作目录中 创建一个日志文件。使用这个选项可以在硬盘的任意位置创建 日志文件。 /prompt 这个选项命令安装程序在更新或升级您的软件之后只显示 “关闭 Windows”对话框。可以将这个选项与 /silent 配合使用。 /silent 这个选项会以无提示的方式运行更新,它不会显示任何对话框。 /reboot 如果将这个选项与 /silent 选项配合使用,安装程序会重新 启动目标计算机,但只有当安装程序必须这样做才能替换所有 文件时才会重新启动目标计算机。 如果不在命令行中使用这个选项,或者没有在更新脚本中包含 类似的命令,安装程序不会重新启动目标计算机。 注释: 要立即使用新的更新文件启动,某些防病毒产品需要重新启动 目标计算机。其他产品则不需要。当您使用这个选项时,安装 程序是否重新启动目标计算机取决于: - 您的防病毒软件、平台和操作系统。 - 当启动安装程序时正在运行的程序组件。 - 安装的引擎。 如果安装程序不需要重新启动计算机即可立即使用这些新 文件,则不会重新启动您的计算机。 /e <路径> 这个选项命令安装程序将文件从 SuperDAT 软件包解压缩到 您在 <路径> 中指定的目录。您可以使用这个选项来验证软件 包中的文件是否有效。这个选项并不会运行安装程序或者命令 它更新您的软件。如果不指定 <路径>,则安装程序会将内容 解压缩到当前的工作目录中。 /v 这个选项显示了 Microsoft Windows 95、Windows 98、 Windows ME、Windows NT 和 Windows 2000 版安装 程序的验证信息。该信息包括文件的版本、时间戳记和循环冗 余码校验 (CRC) 验证代码。您可以将这些数据与 SuperDAT 软件包附带的 SDATPACK.LST 文件中的数据进行比较。这个 选项并不会运行安装程序或者命令它更新您的软件。 /f 这个选项命令安装程序使用当前软件包附带的文件来更新和升 级您的软件,而不考虑目前安装了哪个版本的文件。使用这个 选项可以“强制”更新当前文件版本,从而覆盖损坏的文件或 者实施您的防病毒安全策略。 /? 这个选项会显示可供安装程序使用的命令行选项的描述,它并 不会运行安装程序或者命令它更新您的软件。 通过网络管理软件分发 SuperDAT 文件 如果使用自动升级功能或 Microsoft 系统管理服务器(System Management Server,即 SMS)分发更新和升级,您可以从我 们的网站下载分发更新或升级软件包所需的软件包说明文件或脚 本文件。 您可以在那里找到每种分发实用程序的独立档案文件: SMS.ZIP 与系统管理服务器 (System Management Server) 配合使用的软件包定义文件 (.PDF)。 AUTOUPG.ZIP 与自动升级功能配合使用的软件包说明文件。 修改 SuperDAT 软件包以便与自动升级功能配合使用 您必须修改 SuperDAT 软件包,才能将它与防病毒软件附带的自 动升级功能配合使用。 1. 将文件 SDATnnnn.EXE(例如 SDAT4321.EXE)重命名为 SETUP.EXE。 2. 从 Network Associates 网站下载文件 AUTOUPG.ZIP。 注释: AUTOUPG.ZIP 包含文件 PKGDESC.INI。从 .ZIP 存档中 解压缩 PKGDESC.INI,然后将解压缩的文件和 SETUP.EXE 文件复制到服务器,网络中的其他计算机将从这台服务器下载 更新后的文件。PKGDESC.INI 和 SETUP.EXE 必须存在, 自动升级功能才能正确下载更新文件。 如果升级服务器运行的是 UNIX 或其他区分大小写的操作系 统,请确保已正确命名 PKGDESC.INI 文件。 Microsoft Windows 95、Windows 98、Windows ME、 Windows NT Workstation v4.0 和 Windows 2000 Professional 版 VirusScan 防病毒软件的自动更新功能 要求小写的文件名 pkgdesc.ini: NetShield 以及用于 Microsoft Windows NT 的 VirusScan 4.0.3 版防病毒软件需要大写的文件名 PKGDESC.INI。 3. 创建 SETUP.ISS 文件,并将其复制到一个目录中以便让自动 升级功能从中下载新文件。 SETUP.ISS 是一个简单的文本文件,负责控制自动升级功能 如何升级或更新您的软件。您可以使用任何标准文本编辑器创 建并保存这个文件。如果不想指定任何配置选项,可以只创建 一个零字节的 SETUP.ISS 文件。 要点: 4.0.3 版的防病毒产品附带的自动升级功能需要 SETUP.ISS 文件才能运行,无论该文件是否包含任何配 置选项。 4.5 版的产品系列(不包括 NetShield 4.5)附带的 自动升级功能不需要 SETUP.ISS 文件即可运行。 要在 SETUP.ISS 文件中指定配置选项,请使用下面的示例来了 解您可以使用哪些选项。您可以将这个示例直接剪切并粘贴到某个 文本文件中,然后编辑并保存为 SETUP.ISS。 [SuperDATOptions] bReboot=1 bPrompt=1 szLogFile=C:\temp\mylog.txt 下面是对这个文件中每条语句的说明: - bReboot=1 这条语句命令 SuperDAT 软件包安装程序在必须启动目标计 算机才能彻底更新或升级您的防病毒软件时重新启动目标计算 机。如果您不希望在更新完文件之后重新启动目标计算机,请 将 bReboot= 的值设为零,或者在 SETUP.ISS 中去掉这 条语句。 注释: 如果不在 SETUP.ISS 文件、命令行或更新脚本中使用这 条语句以便命令 SuperDAT 软件包安装程序不重新启动 目标计算机,则它在任何情况下都不会重新启动目标计算机。 要立即使用新的更新文件启动,某些防病毒产品需要重新 启动目标计算机。其他产品则不需要。当在 SETUP.ISS 文 件中包括这条语句时,SuperDAT 软件包安装程序是否实 际重新启动您的计算机将取决于: - 安装的防病毒软件、平台和操作系统。 - 当启动 SuperDAT 软件包安装程序时正在运行的程 序组件。 - DAT 文件版本和安装的引擎。 如果安装程序不需要重新启动计算机即可立即使用新的文件, 则无论您是否加入了这条语句,它都不会重新启动计算机。 - bPrompt=1 这条语句命令 SuperDAT 软件包安装程序在更新或升级您的 软件之后只显示“关闭 Windows”对话框。 - szLogFile=<路径\文件名> 该选项通知 SuperDAT 软件包安装程序以指定的文件名和位 置保存日志文件。默认情况下,SuperDAT 软件包安装程序在 当前工作目录中创建一个日志文件。 本 SuperDAT 软件包包含的文件 SuperDAT 安装程序组件 GLOBALS.NSG 全局变量定义文件 NAISCRIP.NSC 脚本文件 SDATPACK.LST 与 VALIDATE.EXE 配合使用的打包列表 和代码 GSDSUPER.DLL GroupShield for Lotus Domino 支 持文件 DAT 文件 SCAN.DAT 用来扫描病毒的数据文件。 NAMES.DAT 病毒名称数据文件。 CLEAN.DAT 用来清除病毒的数据文件。 INTERNET.DAT 用来检测恶意 Java/ActiveX 对象的数 据文件。 普通引擎组件 MCSCAN32.DLL 病毒扫描引擎 SIGNLIC.TXT 第三方许可信息 MCTOOL.EXE 支持文件,用来在 Novell NetWare 服务器卷上保存上次访问日期 AVPARAM.DLL VirusScan 32 位/16 位支持文件 PSAPI.DLL Microsoft Windows NT 支持库 VIRUSSCAN FOR MICROSOFT WINDOWS 95/98 防病毒软件文件 MCSCAN32.VXD 病毒扫描引擎 VSHIELD.VXD 后台运行的 VShield 扫描程序 RWABS16.DLL VirusScan 16 位支持文件 RWABS32.DLL VirusScan 32 位支持文件 用于 VIRUSSCAN COMMAND LINE 防病毒软件的文件 LICENSE.DAT VirusScan 软件使用的许可信息 MESSAGES.DAT 消息内容文件 BOOTSCAN.EXE 紧急磁盘命令行扫描程序 SCAN.EXE 用于 32 位环境的 VirusScan 命令行扫描程序 SCANPM.EXE 用于保护模式环境的 VirusScan 命令行扫描程序 SCAN86.EXE 用于实时模式环境的 VirusScan 命令行扫描程序(4.1.40 版本) _______________________________________________ 测试安装的软件 通过在安装了本软件的计算机上运行 EICAR 标准防病毒测试文件, 您可以测试本软件。EICAR 标准防病毒测试文件是全球防病毒 厂商共同努力的结果,其目的在于设立一个标准,客户可以按照这 个标准来验证他们安装的防病毒软件。 要测试安装的软件: 1. 将下面这行文字复制到一个独立文件中,然后以 EICAR.COM 名称保存该文件。 X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* 该文件大小为 68 或 70 字节。 2. 启动您的防病毒软件,并允许它扫描 EICAR.COM 所在的目录。 当您的软件扫描这个文件时,会报告发现 EICAR 测试文件。 3. 测试完安装的软件之后,请删除这个文件,以避免对正常用户 发出警告。 要点: 请注意,该文件并非病毒。 ____________________________________________ 已知问题 1. 目前 SuperDAT 日志文件的最大长度限制为 64K。此后, SuperDAT 实用程序会继续记录事件,但会截断这个文件。 2. 如果运行 SuperDAT 软件包安装程序来更新和升级用于 Windows 95 和 Windows 98 的现有版本(例如 4.0.3) 的 VirusScan,然后安装这个软件包的更高版本(例如 4.5.1),则必须再次运行 SuperDAT 软件包安装程序以确 保使用最新的引擎文件。 3. SuperDAT 软件包安装程序目前不支持在 Novell NetWare 登录脚本中使用 @ 符号。我们不为个别环境创建和提供登录 脚本,也不提供此类支持。 4. SuperDAT 软件包安装程序会在您系统的现有安全结构下运 行。对于 Microsoft Windows NT 系统而言,这通常意味 着您必须拥有某种管理权限才能升级防病毒软件的扫描引擎, 因为您需要这些权限来停止和启动系统服务。使用在安装防病 毒软件时使用的身份登录到系统中,您将具有足够的权限。 5. 病毒扫描引擎包括特洛伊木马文件检测,这种检测允许防病毒 软件关闭有害的特洛伊木马程序并删除计算机中有害软件的所 有记录。 要在 Windows NT 系统上启用对这种功能的支持,您还必须 具有两个独立的动态链接库 (.DLL) 文件 PSAPI.DLL 和 VDMDBG.DLL,这两个文件安装在您系统的 \WINNT\System32 文件夹中。 您的系统中应该有 VDMDBG.DLL,但在某些 NT 4.0 系统中 可能没有 PSAPI.DLL。如果 PSAPI.DLL 不在 \WINNT\System32 文件夹中,您应向 Microsoft 索取。 注释: 不能将 PSAPI.DLL 复制到已经安装 PSAPI.DLL 的系统中。 _______________________________________________ 了解病毒名称 我们的防病毒软件通常遵循业界通用的命名惯例来表示它检测和 清除的病毒。某些病毒名称偶尔也会有别于严格的业界标准。 如果某种新病毒具有一系列具体特征并表明它是一个全新品种,我 们会将它冠名为某某“系列”。病毒研究人员根据病毒的某些特点 或表现(例如文本串或有效负载影响)来确定这一系列的名称。 系列名称可以包括用来指定病毒字节大小的数值型字串。研究人员 使用这个名称来方便地区别类似的病毒变种。 在病毒系列中,变种的名称由系列名称和后缀组成,例如 BadVirus.a。后缀按字母顺序排列,到 z 为止,然后再开始按 aa 形式排列,直到 az。再后来的病毒变种将使用后缀 ba 到 bz, 依次类推,直到 zz。如果以后又出现新的变种,则使用后缀 aaa。 随着新病毒变形的不断出现,业界的命名惯例也开始采用越来越多 的信息。例如,某些名称包括表示病毒运行平台的信息。 防病毒厂商采用的病毒名称可以包括前缀、中缀和后缀。 前缀 前缀指明病毒感染的文件类型或可能有害的软件运行的平台。感染 DOS 可执行文件的病毒没有前缀。我们的命名惯例包括下列前缀: A97M/ 感染 Microsoft Access 97 文件的宏病毒。 APM/ 感染 Ami Pro 文档和模板文件的宏病毒或特洛 伊木马程序。 Bat/ 批处理文件病毒或特洛伊木马程序。这些病毒通常 作为批处理或脚本文件运行,可能会影响需要解释 脚本或批处理命令的某些程序。这些病毒流动性很 强,几乎能够影响可以运行批处理或脚本文件的所 有平台。这些文件本身通常使用 BAT 扩展名。 CSC/ 感染 Corel Draw 文档文件、模板文件和脚本 的 Corel Script 病毒或特洛伊木马程序。 IRC/ Internet Relay Chat 脚本病毒。这种病毒使 用早期版本的 mIRC 客户端软件分发病毒或有效 负载。 JS/ 用 JavaScript 语言编写的脚本病毒或特洛伊 木马程序。 JV/ 可能有害的 Java 应用程序或小程序。 Linux/以 ELF 文件格式编写的、作用于 Linux 操作 系统的病毒或特洛伊木马程序。 LWP/ 可能对 Lotus WordPro 有害的软件。 MacHC/作用于 Apple Macintosh HyperCard 脚本 语言的病毒或特洛伊木马程序。 MacOS/作用于 Apple Macintosh OS 6 至 9 的病毒 或特洛伊木马程序。 MSIL/ 用 Microsoft Intermediate Language 框 架(也称为 .NET)编写的应用程序。 P98M/ 感染 Microsoft Project 文档和模板的宏病 毒或特洛伊木马程序。 PalmOS/作用于 Palm Pilot 的病毒或特洛伊木马程序。 PDF/ 感染 Adobe PDF 文件的程序。 Perl/ 用 Perl 语言编写的脚本病毒或特洛伊木马程序。 PHP/ 用 PHP 语言编写的脚本病毒或特洛伊木马程序。 PP97M/宏病毒。感染 Microsoft PowerPoint 97 文件。 SunOS/可能对 Sun Solaris 有害的软件。 SWF/ 可能对 Shockwave 有害的软件。 Unix/ 作用于某个版本的 UNIX 的程序或 Shell 脚本。 V5M/ 感染 Visio VBA (Visual Basic for Applications) 宏或脚本的宏或脚本病毒或特 洛伊木马程序。 VBS/ 用 Visual Basic Script 语言编写的脚本病 毒或特洛伊木马程序。 W16/ 在 16 位 Microsoft Windows 环境 (Windows 3.1x) 中运行的感染文件的病毒。 W2K/ 可能对 32 位 Microsoft Windows 环境(尤 其是 Windows NT、2000 或 XP)有害的软件。 W32/ 在 32 位 Microsoft Windows 环境(Windows 95、Windows 98 或 Windows NT)中运行的 感染文件或引导区的病毒。 W95/ 在 Microsoft Windows 95、Windows 98 和 Windows ME 环境中运行的感染文件的病毒。 W97M/ 感染 Microsoft Word 97 文件的宏病毒。 WHLP/ 可能对 32 位 Microsoft Windows 环境中 Windows HLP 文件有害的软件。 WM/ 感染 Microsoft Word 95 文件的宏病毒。 X97M/ 感染 Microsoft Excel 97 文件的宏病毒。 XF/ 通过 Excel 公式感染 Microsoft Excel 95 或 97 的宏病毒。 XM/ 感染 Microsoft Excel 95 文件的宏病毒。 特洛伊木马程序类的前缀 BackDoor- 这样的名称表示属于类似特洛伊木马程序的可能有害 软件。紧跟在类名称后的附加字符表示一个系列(例如 BackDoor-JZ)或一个名称(例如 BackDoor-Sub7)。 AdClicker- 重复访问广告赞助的网站。 Adware- 不经允许而安装广告软件。 BackDoor- 通过 Internet 或网络进行远程访问或控制。 Dialer- 不经允许而拨打电话。 DDoS- 作为“分布式拒绝服务”组件运行。 Del- 删除文件。 Downloader- 从 Internet 下载软件,通常传送后门程序和密 码盗窃程序,有时也传送病毒。 Exploit- 利用某个薄弱环节或软件的某个缺陷。 FDoS- 表示“数据泛滥拒绝服务”组件。 KeyLog- 记录击键以立即或以后传送给攻击者。 Kit- 表示为制造病毒或特洛伊木马程序而设计的程序。 MultiDropper- 留下几个特洛伊木马程序或病毒(通常是几个不同 的“后门”)。 Nuke- 利用远程计算机上某个软件的缺陷将计算机关闭。 ProcKill- 终止防病毒和安全产品的进程,并可能删除与这些 应用程序相关联的文件。 PWS- 盗窃密码。 Reboot- 重新启动计算机。 Reg- 不加询问而以您不需要的方式修改注册表。例如, 降低安全设置或产生异常关联或设置。 Spam- 作为垃圾邮件发送工具运行。 Spyware- 监控浏览行为或其他行为并向外发送信息,通常用 于未被请求的广告。 Uploader- 向外发送计算机中的文件或其他数据。 Vtool- 表示病毒作者或黑客使用的软件开发程序。 Zap- 清空硬盘的部分或全部内容。 中缀 这些名称通常出现在病毒名称的中间。AVERT 指定的这些名称可 能与业界惯例不同。 .cmp. 被病毒添加到现有可执行文件中的伴随文件。我们 的防病毒软件会删除伴随文件以防止它们进一步 感染。 .mp. DOS 下的古董级多重分裂病毒。 .ow. 覆盖型病毒。表示会覆盖文件数据而且造成无法挽 回的损失的病毒。必须删除这个文件。 后缀 这些名称通常出现在病毒名称的最后。病毒名称可以有多个后缀。 例如,一个后缀可能表示病毒变种,而其他后缀负责提供附加信息 。 @M 速度比较慢的邮件发送程序。这种病毒通过电子邮 件系统传播。它通常会立刻回复收到的邮件、将自 身附加在要发送的邮件中或者只发送到一个电子 邮件地址。 @MM 发送大量邮件。这种病毒不但能用标准技术自行传 播,也能通过电子邮件系统传播。 .a - .zzz 病毒变种。 根据 CARO(计算机防病毒研究组织)命名惯例,厂商可以采用以 ! 字符开头的后缀。我们的软件使用下列后缀: apd 附加的病毒。可以将其代码附加到文件中、但不能 正确复制的病毒。 bat 用 BAT 语言编写的软件组件。 cav 钻空病毒。这表示将自己复制到程序文件“空洞” 部分(例如全是零的区域)中的病毒。 cfg Internet 特洛伊木马程序(前缀通常为 BackDoor-)的配置组件。 cli Internet 特洛伊木马程序(前缀通常为 BackDoor-)的客户端组件。 dam 损坏的文件。因感染病毒而损坏或破坏的文件。 demo 执行可能有害的操作(例如如何利用安全隐患)的 程序。 dr 负责放置病毒的文件。这个文件负责将病毒引入到 宿主程序中。 gen 常规检测。我们的软件程序不使用特定的代码串即 可检测到这种病毒。 ini 当它是另一种病毒的一个组成部分时,是一个 mIRC 或 pIRCH 脚本。 intd “故意”的病毒。这种病毒具有普通病毒的大部分 特征,但不能正确复制。 irc 可能有害的软件的 IRC 组件。 js JavaScript 中的可能有害的软件组件。 kit 用“病毒设计工具”编写的病毒或特洛伊木马程序。 p2p 通过点对点通讯功能发挥作用的可能有害的软件。 例如 Gnutella 和 Kazaa。 sfx 特洛伊木马程序的自解压缩安装实用程序。 src 病毒源代码。它通常不能复制或感染文件,但负责 放置病毒的某些程序会将这个文件添加到病毒中。 我们的产品通常会标记带有这种附加代码的文件, 以便将其删除。 sub 替代病毒。它会替代宿主文件,这样感染了病毒的 所有宿主都会具有同样的大小,而且变成真正的病 毒。(即覆盖型病毒的一个子类。) svr Internet 特洛伊木马程序(前缀通常为 BackDoor)的服务器端组件。 vbs 用 Visual Basic Script 语言编写的可能有 害的软件组件。 worm 一种能够自我复制的非寄生性病毒,或是一种可以 通过将自身复制到远程计算机进行传播或以任何 文件传输方式(例如远程共享、点对点、即时通讯、 IRC 文件传输、FTP 以及 SMTP)在网络中传 播的病毒。 常规检测 我们的软件能够事先全面检测到大量可能有害的软件。大多数情况 下,即使 AVERT 没有收到样本,也能够成功清除这些对象。这种 检测将在名称中添加 Generic 或 gen 后缀进行指明。 要向 AVERT 提交样本,请访问 AVERT 主页。请参阅“与 McAfee Security 和 Network Associates 联系”。 启发式检测 我们的软件能够启发式地检测到大量可能有害的新软件。这种检测 将在软件名称中添加 New 前缀(例如 New Worm 和 New Win32)。 要提交由启发式扫描功能检测到的样本,请访问 AVERT 主页。请 参阅“与 McAfee Security 和 Network Associates 联系”。 应用程序检测 我们的软件能够检测到可能是您不需要的应用程序,但它们不属于 病毒或特洛伊木马程序。它们包括 Adware、Spyware、Dialer、 能隐藏自身的远程访问软件以及许多用户不想在计算机中使用的 其他类似应用程序。不需要的应用程序还包括“玩笑”程序,但您 可以使用扫描选项排除它们。 详细信息,请访问 AVERT 主页。请参阅“与 McAfee Security 和 Network Associates 联系”。 _______________________________________________ 文档 本产品包括如下文档: - 本自述文件。 - CONTACT 文件。 McAfee Security 和 Network Associates 服务和资 源的联系信息:技术支持、客户服务、AVERT、测试程序和培 训。本文件还提供了 Network Associates 在美国和世界 各地办事处的电话号码、街道地址、Web 地址、电子邮件地址 和传真号码列表。 _______________________________________________ 与 McAfee Security 和 Network Associates 联系 技术支持 主页 http://www.networkassociates.com/us/support/ KnowledgeBase 搜索 https://knowledgemap.nai.com/phpclient/homepage.aspx PrimeSupport 服务门户网站 http://mysupport.nai.com 需要登录证书。 McAfee Security 测试活动 测试网站 http://www.networkassociates.com/us/downloads/beta/ 电子邮件 avbeta@nai.com Security HQ -- AVERT(防病毒紧急响应小组) 主页 http://www.networkassociates.com/us/security/home.asp 病毒信息库 http://vil.nai.com 提交病毒样本 – AVERT WebImmune https://www.webimmune.net/default.asp AVERT DAT 通知服务 http://vil.nai.com/vil/join-DAT-list.asp 下载站点 主页 http://www.networkassociates.com/us/downloads/ DAT 文件和引擎更新 http://www.networkassociates.com/us/downloads/updates/ ftp://ftp.nai.com/pub/antivirus/datfiles/4.x 产品升级 https://secure.nai.com/us/forms/downloads/upgrades/login.asp 需要有效的授权号。 与 Network Associates 客户服务部门联系 培训 McAfee Security 大学 http://www.networkassociates.com/us/services/education/mcafee/university.htm Network Associates 客户服务部门 美国、加拿大和拉丁美洲免费电话: 电话: +1-888-VIRUS NO 或 +1-888-847-8766 星期一到星期五,中部时间上午 8:00 – 下午 8:00 电子邮件: services_corporate_division@nai.com 网站: http://www.nai.com/us/index.asp http://www.networkassociates.com/us/ index.asp 关于与 Network Associates 和 McAfee Security 联系的 详细信息(包括其他地区的免费电话号码),请参阅本产品附带的 Contact 文件。 _______________________________________________ 版权和商标归属 版权所有 (c) 2004 Networks Associates Technology, Inc.。 保留所有权利。未经 Networks Associates Technology, Inc. 或其供应商或子公司的书面许可,不得以任何形式或手段 将本出版物的任何部分复制、传播、转录、存储在检 索系统中或翻译成任何语言。要获得这一许可,请写信给 Network Associates 法律部门,通信地址为: 5000 Headquarters Drive, Plano, Texas 75024, 或致电 +1-972-963-8000。 商标 Active Firewall、Active Security、Active Security (日语片假名)、ActiveHelp、ActiveShield、AntiVirus Anyware 及图案、Appera、AVERT、Bomb Shelter、Certified Network Expert、Clean-Up、CleanUp Wizard、ClickNet、 CNX、CNX Certification Certified Network Expert 及图案、Covert、Design(N 样式)、Disk Minder、 Distributed Sniffer System、Distributed Sniffer System(日语片假名)、Dr Solomon’s、Dr Solomon’s 标志、E 及图案、Entercept、Enterprise SecureCast、 Enterprise SecureCast(日语片假名)、ePolicy Orchestrator、Event Orchestrator(日语片假名)、EZ SetUp、First Aid、ForceField、GMT、GroupShield、 GroupShield(日语片假名)、Guard Dog、HelpDesk、HelpDesk IQ、HomeGuard、Hunter、Impermia、InfiniStream、 Intrusion Prevention Through Innovation、 IntruShield、IntruVert Networks、LANGuru、LANGuru (日语片假名)、M 及图案、Magic Solutions、Magic Solutions(日语片假名)、Magic University、MagicSpy、 MagicTree、McAfee、McAfee(日语片假名)、McAfee 及 图案、McAfee.com、MultiMedia Cloaking、NA Network Associates、Net Tools、Net Tools(日语片假名)、NetAsyst、 NetCrypto、NetOctopus、NetScan、NetShield、 NetStalker、Network Associates、Network Performance Orchestrator、NetXray、NotesGuard、nPO、Nuts & Bolts、 Oil Change、PC Medic、PCNotary、PortalShield、 Powered by SpamAssassin、PrimeSupport、Recoverkey、 Recoverkey – International、Registry Wizard、Remote Desktop、ReportMagic、RingFence、Router PM、Safe & Sound、SalesMagic、SecureCast、SecureSelect、 SecurityShield、Service Level Manager、ServiceMagic、 SmartDesk、Sniffer、Sniffer(朝鲜语)、SpamKiller、 SpamAssassin、Stalker、SupportMagic、ThreatScan、 TIS、TMEG、Total Network Security、Total Network Visibility、Total Network Visibility(日语片假名)、 Total Service Desk、Total Virus Defense、Trusted Mail、UnInstaller、VIDS、Virex、Virus Forum、ViruScan、 VirusScan、WebScan、WebShield、WebShield(日语片 假名)、WebSniffer、WebStalker、WebWall、What's The State Of Your IDS?、Who’s Watching Your Network、 WinGauge、Your E-Business Defender、ZAC 2000 和 Zip Manager 是 Network Associates, Inc. 和/或其子公司在 美国和/或其他国家或地区的商标或注册商标。Sniffer(R) 品牌 产品仅由 Network Associates, Inc. 制造。此处所有其他 注册和未注册的商标均为其各自所有者专有。 许可信息 许可协议 所有用户请注意:请仔细阅读与您购买的许可相关的适当法律协议 (以下简称“本协议”),本协议规定了使用许可软件的一般条款 和条件。如果不知道您的许可属于哪一类,请查看软件包装盒附带 的销售文档和与许可授权或订单相关的其他文档,或者查看您购买 时另行得到的销售文档和与许可授权或订单相关的其他文档,这些 文档既可以是小册子、产品光盘上的文件,也可以是从软件包下载 网站中获得的文件。如不同意本协议规定的所有条款和条件,请勿 安装本软件。如果适用,您可以将本产品退回 NETWORK ASSOCIATES, INC. 或原购买处以获得全额退款。 归属 本产品包括或可能包括: - 由 OpenSSL Project (http://www.openssl.org/) 针 对 OpenSSL Toolkit 开发的软件。 - 由 Eric Young 编写的加密软件和 Tim J. Hudson 编写 的软件。 - 某些根据 GNU General Public License (GPL) 或其他 相似“自由软件”许可(包括允许用户复制、修改和重新分发 某些程序或某些程序部分,以及取得源代码)授权(或再授权) 给用户的软件程序。GPL 要求 GPL 涵盖的任何软件在分发 时除了可执行的二进制文件外,还必须向用户提供源代码。对 于 GPL 涵盖的任何软件,其源代码可在本光盘上找到。如果 任何自由软件许可要求 Network Associates 提供比本协 议所赋予的使用、复制或修改软件程序更广泛的权利,则这些 权利将优先于此处提及的权利和限制。 - 由 Henry Spencer 独立编写的软件,版权所有 1992、1993、 1994、1997 Henry Spencer。 - 由 Robert Nordier 独立编写的软件,版权所有 (C) 1996-7 Robert Nordier。保留所有权利。 - 由 Douglas W. Sauder 编写的软件。 - 由 Apache Software Foundation (http://www.apache.org/) 开发的软件。 - International Components for Unicode (ICU),版 权所有 (C) 1995-2002 International Business Machines Corporation 及其他公司。保留所有权利。 - 由 CrystalClear Software, Inc. 开发的软件,版权所 有 (C) 2000 CrystalClear Software, Inc.。 - FEAD(R) Optimizer(R) 技术,版权所有德国柏林 Netopsystems AG。 - Outside In(R) Viewer Technology (C) 1992-2001 Stellent Chicago, Inc. 和/或 Outside In(R) HTML Export, (C) 2001 Stellent Chicago, Inc.。 - (C) 1998、1999、2000 Thai Open Source Software Center Ltd. 及 Clark Cooper 拥有版权的软件。 - Expat 维护人员拥有版权的软件。 - (C) 1989 Regents of the University of California 拥有版权的软件。 - Gunnar Ritter 拥有版权的软件。 - Sun Microsystems(C), Inc. 拥有版权的软件。 - Gisle Aas 拥有版权的软件。保留所有权利 (C) 1995-2003。 - (C) 1999-2000 Michael A. Chase 拥有版权的软件。 - (C) 1995-1996 Neil Winton 拥有版权的软件。 - (C) 1990-1992 RSA Data Security, Inc. 拥有版权 的软件。 - (C) 1999、2000 Sean M. Burke 拥有版权的软件。 - (C) 1995 Martijn Koster 拥有版权的软件。 - (C) 1996-1999 Brad Appleton 拥有版权的软件。 - (C) 2001 Michael G. Schwern 拥有版权的软件。 - (C) 1998 Graham Barr 拥有版权的软件。 - (C) 1998-2000 Larry Wall 和 Clark Cooper 拥有版 权的软件。 - (C) 1997 Frodo Looijaard 拥有版权的软件。 DBN 001-ZH-CN 2.3.1 版