Tali regole vengono applicate esclusivamente ai programmi nocivi (Malware). Esse non riguardano, pertanto, Adware, Pornware e Riskware, ovvero i programmi potenzialmente indesiderati (PUP), né si applicano ad altri oggetti rilevati mediante l’utilizzo di metodi di protezione proattiva (tali oggetti assumono il prefisso PDM:) o uno strumento di analisi euristica (nella circostanza viene assegnato il prefisso HEUR:).

In base al sistema di classificazione standard, ogni oggetto rilevato viene accompagnato da una propria descrizione, chiara e ben definita, e risulta al tempo stesso collocato in posizione univoca nell’ambito dell’albero di classificazione.

Di fatto, spesso si incontrano programmi malware provvisti di un’ampia gamma di funzionalità nocive, così come di vari metodi di propagazione. Prendiamo, ad esempio, un software malevolo distribuito in veste di allegato a messaggi di posta elettronica, oppure diffuso sotto forma di file nell’ambito delle reti P2P. Supponiamo che, oltre a ciò, tale malware sia ugualmente in grado di effettuare la raccolta degli indirizzi e-mail custoditi nei computer-vittima, ovviamente senza il consenso dell’utente. Un programma maligno del genere potrebbe essere correttamente classificato sia come Email-Worm, sia come P2P-Worm, oppure, in alternativa, come Trojan Mailfinder. Una simile situazione può causare facilmente confusione, visto che le diverse varianti di uno stesso software malevolo potrebbero in tal modo ricevere varie denominazioni, a seconda del comportamento nocivo giudicato prevalente e di maggior rilievo da parte dell’esperto antivirus intento ad analizzare il codice dannoso.

Per evitare questo genere di problematiche, Kaspersky Lab utilizza un set di regole che permettono di classificare un programma malware senza alcuna ambiguità o incertezza, regole basate sul particolare comportamento del software nocivo, indipendentemente dalle funzionalità possedute da quest’ultimo.

Ma come funzionano esattamente queste regole? In pratica, ad ogni comportamento viene assegnato un determinato livello di pericolosità; i comportamenti ritenuti meno minacciosi vengono per così dire “assorbiti” da quelli più pericolosi. Se consideriamo, quindi, che nell’esempio sopra riportato il comportamento che presenta il rischio maggiore è quello classificato come Email-Worm, il programma maligno analizzato dall’esperto verrà esattamente ricondotto a questa specifica tipologia.

Le regole di “assorbimento”, relative a tutti i tipi di programmi malware esistenti, possono essere rappresentate in forma di albero:

n_graph_2

Regole di classificazione per gli oggetti provvisti di funzionalità multiple

I tipi di comportamento meno pericolosi sono posizionati nella parte inferiore del diagramma; i tipi di comportamento più pericolosi risultano invece collocati nella parte superiore dello stesso.

Nel caso in cui, per un programma malware, vengano rilevati vari tipi di comportamento, l’oggetto in questione verrà quindi classificato in base al comportamento che presenta il livello di pericolosità più elevato. Se ad un software nocivo possono essere assegnati diversi comportamenti equivalenti (ad esempio Trojan-Downloader e Trojan-Dropper), per tale programma verrà scelto il tipo di comportamento posizionato più in alto nella struttura di classificazione ad albero.

Nota: la regola relativa alla scelta del comportamento di maggior pericolosità (ovvero quello situato più in alto nell’albero di classificazione) viene applicata esclusivamente a Trojan, Virus e Worm. Essa non viene invece adottata per gli Strumenti Nocivi.

Se un programma nocivo presenta due o più funzioni con livelli di pericolosità equivalenti, riconducibili a Trojan-Ransom, Trojan-ArcBomb, Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, Trojan-Dropper, Trojan-IM, Trojan-Notifier, Trojan-Proxy, Trojan-SMS, Trojan-Spy, Trojan-Mailfinder, Trojan-GameThief, Trojan-PSW o Trojan-Banker, tale software nocivo sarà classificato come Trojan.

Nel caso in cui un programma malware presenti invece due o più funzionalità con livelli di minaccia equivalenti riconducibili a IM-Worm, P2P-Worm o IRC-Worm, esso verrà classificato come Worm.