Regole di denominazione degli oggetti

Tutti gli oggetti rilevati dai prodotti antivirus di Kaspersky Lab vengono denominati in base al seguente sistema:
[Prefix:]Behaviour.Platform.Name[.Variant]

ovvero
[Prefisso:]Comportamento.Piattaforma.Nome[.VarianteIl prefisso

Il prefisso identifica il sottosistema che ha effettuato il rilevamento dell’oggetto. Il prefisso “HEUR:” viene utilizzato per indicare gli oggetti rilevati tramite l’analizzatore euristico, mentre il prefisso “PDM:” viene impiegato per indicare gli oggetti rilevati attraverso il modulo di difesa proattiva.

Il prefisso non costituisce un elemento obbligatorio dell’intera denominazione dell’oggetto e può pertanto non risultare presente.

Il comportamento specifica cosa fa esattamente l’oggetto individuato. Per Virus e Worm, il comportamento viene scelto in base al metodo di propagazione utilizzato. Per Trojan e Strumenti Nocivi (Malicious Tools), il comportamento viene scelto a seconda del tipo di payload nocivo di cui è provvisto l’oggetto. Per ciò che riguarda i Packer Sospetti, il comportamento viene scelto in base al modo in cui i packer agiscono. Per Adware, Riskware e Pornware il comportamento viene scelto in base alla funzione dell’oggetto rilevato.

La piattaforma è l’ambiente in cui viene eseguito il codice del programma. Questo può essere riferito sia al software che all’hardware.

Per gli oggetti che possono essere eseguiti su più di una piattaforma, la piattaforma stessa viene definita come “Multi.” Virus.Multi.Etapux è un classico esempio di programma malware multi-piattaforma. Tale software nocivo infetta file eseguibili sia nel sistema operativo Windows sia nell’OS Linux.

Nel momento in cui stiamo scrivendo, vi sono due piattaforme provviste di apposito supporto per l’analizzatore euristico: si tratta di Win32 e Script (una piattaforma generalizzata per tutta una serie di script diversi). Vi è invece una sola piattaforma per il modulo di difesa proattiva, ovvero Win32.

Il nome è la denominazione ufficiale assegnata all’oggetto rilevato; essa definisce la famiglia a cui appartiene tale oggetto.

Il termine famiglia viene utilizzato per indicare un gruppo di oggetti che condividono la stessa origine (autore, codice sorgente), gli stessi principi di funzionamento, oppure il payload. Ad esempio, i programmi malevoli riconducibili alla famiglia Trojan.Win32.StartPage modificano la pagina iniziale del browser Internet.

Una variante costituisce una versione modificata dell’oggetto rilevato. La variante può essere indicata per mezzo di un numero o di una lettera, ad iniziare da ‘.a’: ‘.a’ – ‘.z’, ‘.aa’ – ‘.zz’ e così via.

La variante non rappresenta un elemento obbligatorio dell’intera denominazione dell’oggetto e può quindi non essere presente.