Definizione degli oggetti rilevati dall’analizzatore euristico o dal modulo di difesa proattiva

I database antivirus di Kaspersky Lab contengono un enorme numero di euristici (per i nomi di tali euristici non viene utilizzato alcun prefisso). Inoltre, nell’anno 2007, la nostra società ha introdotto un modulo euristico separato, provvisto di tutti i più recenti ed avanzati sviluppi tecnologici. Quando il rilevamento di un oggetto viene effettuato tramite tale modulo, il nome dell’oggetto inizia con il prefisso “HEUR:”.

Il modulo di difesa proattiva è un modulo preposto ad effettuare il monitoraggio della sequenza delle azioni svolte da un’applicazione all’interno del sistema; nel caso in cui venga rilevata un’attività sospetta, l’applicazione viene immediatamente bloccata, per impedire che la stessa possa condurre ulteriori attività. Se il rilevamento di un oggetto risulta effettuato tramite il modulo PDM, il nome dell’oggetto inizia con il prefisso “PDM:”.

Entrambi i moduli analizzano l’attività (o sequenza di attività) di un oggetto. Qualora si tratti di un’attività tipica per un programma malevolo, l’oggetto verrà rilevato o dall’analizzatore euristico o dal modulo PDM.

La classe Malware riguarda i seguenti oggetti:

HEUR:Worm.[Platform].Generic

Gli oggetti riconducibili a tale classificazione eseguono ricerche su computer remoti e tentano di realizzare una copia di se stessi allo scopo di leggere/scrivere directory accessibili, ricercare directory di rete accessibili mediante l’utilizzo delle funzioni del sistema operativo, e/o condurre una ricerca casuale di computer.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Virus.[Platform].Generic

Gli oggetti ascrivibili a tale classificazione creano copie di se stessi sulle risorse locali del computer-vittima.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Email-Worm.[Platform].Generic

Gli oggetti assegnati a questa specifica classificazione cercano di inviare copie di se stessi sotto forma di allegato e-mail, o di link preposto a condurre verso i propri file, custoditi su una risorsa di rete.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Virus.[Platform].Infector

Gli oggetti riconducibili a questa classificazione ricercano determinati file in un computer, per poi scrivere una serie di dati su tali file. Un oggetto del genere può, ad esempio, scrivere il proprio corpo su un file eseguibile, oppure scrivere del codice HTML contenente un link destinato a condurre verso file provvisti di estensione .html, .php, .asp, o di altre estensioni.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

PDM:Worm.Win32.Generic

Gli oggetti ascrivibili a tale classificazione ricercano reti di computer remoti e tentano di realizzare una copia di se stessi allo scopo di leggere/scrivere directory accessibili, ricercare directory di rete accessibili mediante l’utilizzo delle funzioni del sistema operativo, e/o condurre una ricerca casuale di computer.

PDM:P2P-Worm.Win32.Generic

Gli oggetti raggruppati in questa particolare classificazione eseguono una copia di se stessi su cartelle comunemente associate a client P2P, modificano le chiavi di registro associate a client P2P, etc.

HEUR:Trojan.[Platform].Generic

Gli oggetti assegnati a tale classificazione provvedono ad eliminare, bloccare, modificare o copiare informazioni, e danneggiano le prestazioni di computer o reti di computer.
Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Trojan.Win32.Invader

Gli oggetti così classificati iniettano il proprio codice nello spazio degli indirizzi di altri processi.

Questo specifico stratagemma viene spesso utilizzato dai virus writer al fine di eseguire tutta una serie di azioni, come se le stesse fossero condotte tramite un’applicazione attendibile.

HEUR:Trojan.[Platform].AntiAV

Gli oggetti riconducibili a tale denominazione impediscono il regolare funzionamento di programmi antivirus e firewall.
Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Trojan.[Platform].KillFiles

Gli oggetti inseriti in tale classificazione provvedono ad eliminare i file dell’utente e/o i file del sistema operativo.
Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Trojan.[Platform].StartPage

Questi oggetti modificano la pagina iniziale e la pagina di ricerca predefinite, così come altre impostazioni dei browser Internet.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Trojan.Script.Iframer

Gli oggetti riconducibili a tale classificazione sono in grado di accedere alle risorse Internet all’insaputa dell’utente, mediante l’utilizzo di appositi tag <IFRAME> nascosti.

HEUR:Trojan.[Platform].Cryptic

Gli oggetti facenti parte di tale classificazione si presentano in forma altamente crittografata od offuscata.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Backdoor.[Platform].Generic

Gli oggetti ascrivibili a questa classificazione consentono ad un utente malintenzionato di poter controllare da remoto il computer-vittima.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Trojan-Downloader.[Platform].Generic

Gli oggetti coperti da tale criterio di classificazione vengono appositamente progettati per generare il download e la successiva installazione, sui computer-vittima, di nuove versioni di software nocivi.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Trojan-PSW.[Platform].Generic

Gli oggetti riuniti in questo gruppo di software maligni vengono progettati con il preciso scopo di realizzare il furto, all’interno dei computer-vittima, delle informazioni (login e password) relative agli account di cui dispongono gli utenti.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Trojan-Dropper.[Platform].Generic

Gli oggetti compresi in tale classificazione installano furtivamente ulteriori software nocivi sul computer-vittima, dal corpo del programma malware originale.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Exploit.[Platform].Generic

Gli oggetti inclusi in tale classificazione sfruttano una o più vulnerabilità del software su un computer locale o remoto.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

PDM:Trojan.Win32.Generic

Gli oggetti riconducibili a questa classificazione provvedono ad eliminare, bloccare, modificare o copiare informazioni, oppure compromettono il funzionamento di computer o reti di computer.

PDM:Rootkit.Win32.Generic

Gli oggetti facenti parte di tale classificazione nascondono certi oggetti o attività all’interno del sistema. Vengono ugualmente ricondotti a questa classificazione i programmi progettati per installare di nascosto dei driver che manifestano un comportamento di tipo Rootkit sul computer-vittima.

La classe Adware comprende la classificazione HEUR:Adware.[Platform].Generic:

HEUR:Adware.[Platform].Generic

Gli oggetti così classificati provvedono a reindirizzare le richieste di ricerca.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

La classe Riskware comprende la classificazione PDM:Monitor.Win32.Keylogger:

PDM:Monitor.Win32.Keylogger

Gli oggetti ascrivibili a tale criterio di classificazione registrano le sequenze dei tasti premuti sulla tastiera del computer.

Questo tipo di programma non rappresenta una minaccia nel caso in cui esso sia stato installato sul computer dallo stesso utente o da un amministratore di rete.