????? 病毒名是由以下6字段組成的：主行為類型.子行為類型.宿主文件類型.主名稱.版本信息.主名稱變種號#附屬名稱.附屬名稱變種號.病毒長度。其中字段之間使用“.”分隔，#號以后屬于內部信息，為推舉結構。
??????主行為類型與病毒子行為類型
　　病毒可能包含多個主行為類型，這種情況可以通過每種主行為類型的危害級別確定危害級別最高的作為病毒的主行為類型。同樣的，病毒也可能包含多個子行為類型，這種情況可以通過每種主行為類型的危害級別確定危害級別最高的作為病毒的子行為類型。其中危害級別是指對病毒所在計算機的危害。
　　病毒主行為類型有是否顯示的屬性，用于生成病毒名時隱藏主行為名稱。它與病毒子行為類型存在對應關系，見下表：

????? 主行為類型 子行為類型
????? Backdoor
????? 危害級別：1
?????? 說明：
????? 中文名稱―“后門”， 是指在用戶不知道也不允許的情況下，在被感染的系統上以隱蔽的方式運行可以對被感染的系統進行遠程控制，而且用戶無法通過正常的方法禁止其運行。“后門”其實是木馬的一種特例，它們之間的區別在于“后門”可以對被感染的系統進行遠程控制（如：文件管理、進程控制等）。
????? Worm
????? 危害級別：2
????? 說明：
????? 中文名稱―“蠕蟲”，是指利用系統的漏洞、外發郵件、共享目錄、可傳輸文件的軟件（如：MSN、OICQ、IRC等）、可移動存儲介質（如：U盤、軟盤），這些方式傳播自己的病毒。這種類型的病毒其子型行為類型用于表示病毒所使用的傳播方式。 Mail
????? 危害級別：1
????? 說明：通過郵件傳播
????? IM
????? 危害級別：2
????? 說明：通過某個不明確的載體或多個明確的載體傳播自己
????? MSN
????? 危害級別：3
????? 說明：通過MSN傳播
????? QQ
????? 危害級別：4
????? 說明：通過OICQ傳播
????? ICQ
????? 危害級別：5
????? 說明：通過ICQ傳播
????? P2P
????? 危害級別：6
??????說明：通過P2P軟件傳播
????? IRC
????? 危害級別：7
??????說明：通過ICR傳播
????? 說明：不依賴其他軟件進行傳播的傳播方式，如：利用系統漏洞、共享目錄、可移動存儲介質。
????? Trojan
????? 危害級別：3
????? 說明：
????? 中文名稱―“木馬”，是指在用戶不知道也不允許的情況下，在被感染的系統上以隱蔽的方式運行，而且用戶無法通過正常的方法禁止其運行。這種病毒通常都有利益目的，它的利益目的也就是這種病毒的子行為。 Spy
????? 危害級別：1
????? 說明：竊取用戶信息（如：文件等）
????? PSW
????? 危害級別：2
??????說明：具有竊取密碼的行為
????? DL
????? 危害級別：3
????? 說明：下載病毒并運行
????? 一、判定條款:
????? 沒有可調出的任何界面,邏輯功能為:從某網站上下載文件加載或運行.
????? 二、邏輯條件引發的事件:
????? 事件1、.不能正常下載或下載的文件不能判定為病毒。
????? 操作準則:該文件不能符合正常軟件功能組件標識條款的,確定為:Trojan.DL
??????事件2.下載的文件是病毒
????? 操作準則: 下載的文件是病毒,確定為: Trojan.DL
??????IMMSG
????? 危害級別：4
??????說明：通過某個不明確的載體或多個明確的載體傳播即時消息（這一行為與蠕蟲的傳播行為不同，蠕蟲是傳播病毒自己，木馬僅僅是傳播消息）
????? MSNMSG
????? 危害級別：5
????? 說明：通過MSN傳播即時消息
????? QQMSG
????? 危害級別：6
????? 說明：通過OICQ傳播即時消息?
??????ICQMSG
??????危害級別：7
????? 說明：通過ICQ傳播即時消息
????? UCMSG
??????危害級別：8
????? 說明：通過UC傳播即時消息
????? Proxy
??????危害級別：9
??????說明：將被感染的計算機作為代理服務器
????? Clicker
????? 危害級別：10
????? 說明：點擊指定的網頁
????? 判定條款:
????? 沒有可調出的任何界面,邏輯功能為:點擊某網頁。
????? 操作準則:
????? 該文件不符合正常軟件功能組件標識條款的,確定為:Trojan.Clicker。
????? (該文件符合正常軟件功能組件標識條款,就參考流氓軟件判定規則進行流氓軟件判定)
????? Dialer
??????危害級別：12
????? 說明：通過撥號來騙取Money的程序
????? 說明：無法描述其利益目的但又符合木馬病毒的基本特征，則不用具體的子行為進行描述
????? AOL
??????按照原來病毒名命名保留。
????? Notifier
??????按照原來病毒名命名保留。?
??????Virus
????? 危害級別：4
????? 說明：中文名稱―“感染型病毒”，是指將病毒代碼附加到被感染的宿主文件（如：PE文件、DOS下的COM文件、VBS文件、具有可運行宏的文件）中，使病毒代碼在被感染宿主文件運行時取得運行權的病毒。?
??????Harm
??????危害級別：5
????? 說明：中文名稱―“破壞性程序”，是指那些不會傳播也不感染，運行后直接破壞本地計算機（如：格式化硬盤、大量刪除文件等）導致本地計算機無法正常使用的程序。?
??????Dropper
??????危害級別：6
????? 說明：中文名稱―“釋放病毒的程序”，是指不屬于正常的安裝或自解壓程序，并且運行后釋放病毒并將它們運行。

????? 一．Dropper判定條款:
????? 沒有可調出的任何界面，邏輯功能為:自釋放文件加載或運行。
????? 二．邏輯條件引發的事件:
????? 事件1：.釋放的文件不是病毒。
????? 操作準則: 釋放的文件和釋放者本身沒邏輯關系并該文件不符合正常軟件功能組件標識條款的,確定為:Droper
??????事件2：釋放的文件是病毒。?
??????操作準則: 釋放的文件是病毒，確定該文件為:Droper
????? Hack
????? 危害級別：無?
??????說明：中文名稱―“黑客工具”，是指可以在本地計算機通過網絡攻擊其他計算機的工具。 Exploit
??????說明：漏洞探測攻擊工具
????? DDoser
????? 說明：拒絕服務攻擊工具?
??????Flooder
????? 說明：洪水攻擊工具
????? 說明：不能明確攻擊方式并與黑客相關的軟件，則不用具體的子行為進行描述
??????Spam
??????說明：垃圾郵件。
????? Nuker
????? Sniffer
??????Spoofer
????? Anti
????? 說明：免殺的黑客工具?
??????Binder
????? 危害級別：無?
??????說明：捆綁病毒的工具
　　正常軟件功能組件標識條款：被檢查的文件體內有以下信息能標識出該文件是正常軟件的功能組件：文件版本信息,軟件信息（注冊表鍵值、安裝目錄）等。
????? 宿主文件
　　宿主文件是指病毒所使用的文件類型，有是否顯示的屬性。目前的宿主文件有以下幾種。
　　JS 　　　說明：JavaScript腳本文件
　　VBS 　　　說明：VBScript腳本文件
　　HTML 　　　說明：HTML文件
　　Java 　　　說明：Java的Class文件
　　COM 　　　說明：Dos下的Com文件
　　EXE 　　　說明：Dos下的Exe文件
　　Boot 　　　說明：硬盤或軟盤引導區
　　Word 　　　說明：MS公司的Word文件
　　Excel 　　　說明：MS公司的Excel文件
　　PE 　　　說明：PE文件
　　WinREG 　　　說明：注冊表文件
　　Ruby 　　　說明：一種腳本
　　Python 　　　說明：一種腳本
　　BAT 　　　BAT腳本文件
　　IRC 　　　說明：IRC腳本
????? 主名稱
　　病毒的主名稱是由分析員根據病毒體的特征字符串、特定行為或者所使用的編譯平臺來定的，如果無法確定則可以用字符串”Agent”來代替主名稱，小于10k大小的文件可以命名為“Samll”。
????? 版本信息
　　版本信息只允許為數字，對于版本信息不明確的不加版本信息。
??????主名稱變種號
　　如果病毒的主行為類型、行為類型、宿主文件類型、主名稱均相同，則認為是同一家族的病毒，這時需要變種號來區分不同的病毒記錄。如果一位版本號不夠用則最多可以擴展3位，并且都均為小寫字母a―z，如：aa、ab、aaa、aab以此類推。由系統自動計算，不需要人工輸入或選擇。
????? 附屬名稱
　　病毒所使用的有輔助功能的可運行的文件，通常也作為病毒添加到病毒庫中，這種類型的病毒記錄需要附屬名稱來與病毒主體的病毒記錄進行區分。附屬名稱目前有以下幾種：
????? Client 　　說明：后門程序的控制端
??????KEY_HOOK 　說明：用于掛接鍵盤的模塊
????? API_HOOK　 說明：用于掛接API的模塊
??????Install　　說明：用于安裝病毒的模塊
??????Dll　　　　說明：文件為動態庫，并且包含多種功能
???? （空）　　　說明：沒有附屬名稱，這條記錄是病毒主體記錄
??????附屬名稱變種號
　　如果病毒的主行為類型、行為類型、宿主文件類型、主名稱、主名稱變種號、附屬名稱均相同，則認為是同一家族的病毒，這時需要變種號來區分不同的病毒記錄。變種號為不寫字母a―z，如果一位版本號不夠用則最多可以擴展3位，如：aa、ab、aaa、aab以此類推。由系統自動計算，不需要人工輸入或選擇。
????? 病毒長度
　　病毒長度字段只用于主行為類型為感染型（Virus）的病毒，字段的值為數字。字段值為0，表示病毒長度可變。