Классификация вредоносных программ
Одних только типов вредоносных программ известно великое множество. Но каждый тип состоит из огромного количества образцов, также отличающихся друг от друга. Для борьбы со всеми ними нужно уметь однозначно классифицировать любую вредоносную программу и легко отличить ее от других вредоносных программ.
«Лаборатория Касперского» классифицирует все виды вредоносного программного обеспечения и потенциально нежелательных объектов в соответствии с их активностью на компьютерах пользователей. Предложенная «Лабораторией Касперского» система классификации лежит и в основе классификации многих других поставщиков антивирусных программ.
Дерево классификации вредоносных программ
Система классификации «Лаборатории Касперского» четко описывает каждый обнаруженный объект и назначает конкретное местоположение в дереве классификации, показанном ниже. На диаграмме «Дерево классификации»:
- типы поведения, представляющие наименьшую опасность, показаны в нижней области диаграммы;
- типы поведения с максимальной опасностью отображаются в верхней части диаграммы.
Многофункциональные вредоносные программы*
Отдельные вредоносные программы часто выполняют несколько вредоносных функций и используют несколько способов распространения; без некоторых дополнительных правил классификации это могло бы привести к путанице.
Например. Существует вредоносная программа, которая занимается сбором адресов электронной почты на зараженном компьютере без ведома пользователя. При этом она распространяется как в виде вложений электронной почты, так и в виде файлов через сети P2P. Тогда программу можно классифицировать и как Email-Worm, и как P2P-Worm или Trojan-Mailfinder. Чтобы избежать такой путаницы, в «Лаборатории Касперского» применяется набор правил, которые позволяют однозначно классифицировать вредоносную программу по конкретному поведению, независимо от второстепенных свойств.
- На диаграмме «Дерево классификации» видно, что каждому поведению назначен свой уровень опасности.
- В «дереве классификации» виды поведения, представляющие собой большую опасность, расположены выше тех видов, которые представляют меньшую опасность
- И поскольку в нашем примере поведение Email-Worm представляет более высокий уровень опасности, чем поведение P2P-Worm или Trojan-Mailfinder, вредоносную программу из нашего примера можно классифицировать как Email-Worm.**
Несколько функций с одинаковым уровнем опасности
- Если вредоносная программа имеет несколько функций с одинаковым уровнем опасности (таких как Trojan-Ransom, Trojan-ArcBomb, Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, Trojan-Dropper, Trojan-IM, Trojan-Notifier, Trojan-Proxy, Trojan-SMS, Trojan-Spy, Trojan-Mailfinder, Trojan-GameThief, Trojan-PSW или Trojan-Banker), она классифицируется как троянская программа.
- Если у вредоносной программы есть несколько функций с одинаковым уровнем опасности, таких как IM-Worm, P2P-Worm или IRC-Worm, она классифицируется как червь.