Classificazione degli oggetti rilevati

La necessità di stabilire una classificazione degli oggetti nocivi rilevati è sorta già con l’avvento del primo programma antivirus. Nonostante in quel momento i virus fossero ancora in numero limitato, si rivelava comunque necessario applicare, per essi, un opportuno criterio di distinzione.

I pionieri dell’industria antivirus utilizzavano, in genere, metodi di classificazione molto
semplici, basati sulla denominazione univoca del virus e, al tempo stesso, sulla dimensione del file dannoso rilevato. Il nome di uno stesso identico virus, tuttavia, poteva risultare diverso a seconda della soluzione antivirus utilizzata; tale situazione, ovviamente, generava una certa confusione.

I primi tentativi di regolare il processo di classificazione furono intrapresi già all’inizio degli scorsi anni ’90, nell’ambito dell’organizzazione denominata CARO (Computer AntiVirus Researcher’s Organization), composta da esperti e produttori di antivirus. Tale organizzazione produsse, nel 1991, il noto documento “CARO Malware Naming Scheme”, il quale, per un certo periodo di tempo, è divenuto lo standard utilizzato nell’industria antivirus.

Il rapido sviluppo dei software nocivi, sempre più complessi e sofisticati, così come la comparsa di nuove piattaforme ed il numero crescente dei vendor antivirus, hanno fatto sì che l’utilizzo del suddetto schema venisse in pratica interrotto (vedi, a tal proposito, l’articolo di Vesselin Bontchev “Current Status of the CARO Malware Naming Scheme”). Il motivo principale dell’abbandono dello standard in questione è comunque da imputare, più che altro, alle significative differenze esistenti a livello di tecnologie di rilevamento adottate dalle varie società produttrici di soluzioni antivirus; risultava di fatto impossibile unificare i risultati delle scansioni eseguite dai diversi programmi antivirus.

Periodicamente vengono intrapresi dei tentativi per cercare di mettere a punto un nuovo sistema di classificazione universale degli oggetti rilevati dai software antivirus; la maggior parte di essi, tuttavia, non produce esiti positivi. L’ultimo progetto in tal senso, di una certa rilevanza, è rappresentato dalla creazione di CME (Common Malware Enumeration), un’organizzazione che provvede a fornire un comune identificatore univoco alle nuove minacce informatiche rilevate.

Il sistema di classificazione adottato da Kaspersky Lab è uno dei più diffusi nell’ambito dell’industria antivirus e viene inoltre utilizzato da molti altri fornitori di software antivirus come base effettiva per le loro classificazioni. Attualmente, il metodo di classificazione impiegato da Kaspersky Lab abbraccia l’intera gamma di software nocivi o di oggetti potenzialmente indesiderati rilevati dal proprio motore antivirus; tale metodo si basa sulla differenziazione e suddivisione degli oggetti in base alle attività da essi svolte sui computer degli utenti.